Blog

Microsoft 365 Copilot expunha emails e arquivos via link microsoft.com

Escrito por Luiz Claudio | 16/06/2026 19:50:45
Vulnerabilidade

Microsoft 365 Copilot expunha dados via link

Falha ja corrigida podia liberar emails, arquivos e codigos MFA apos um clique.

Navegacao

O que aconteceu Como a falha funcionava Sinais de alerta O que fazer agora Checklist pratico

Resumo rapido

Uma falha no Microsoft 365 Copilot permitia que um atacante usasse um link legitimo da microsoft.com para acessar informacoes da conta da vitima. O risco envolvia emails, arquivos, compromissos de calendario e ate codigos de autenticacao multifator. A Microsoft corrigiu o problema em seus servidores, mas o caso reforca que ate links confiaveis precisam de verificacao.

Neste artigo voce vai aprender:

  • O que foi a falha no Microsoft 365 Copilot
  • Por que um link da microsoft.com podia parecer seguro
  • Quais dados poderiam ser expostos
  • Quais sinais merecem investigacao
  • Quais acoes reduzem riscos semelhantes

Um clique bastava para vazar dados

Pesquisadores da Varonis Threat Labs encontraram uma vulnerabilidade no Microsoft 365 Copilot capaz de expor informacoes sensiveis com um unico clique. O ataque nao dependia de um dominio estranho nem de uma pagina obviamente falsa. O link apontava para um endereco real da microsoft.com, e era justamente isso que aumentava a chance de driblar os filtros tradicionais de phishing.

Os dados em risco incluiam emails, detalhes de calendario, arquivos encontrados pela busca do Copilot e codigos de autenticacao multifator. A Microsoft ja corrigiu a falha no lado do servico, mas o episodio serve de alerta: empresas precisam revisar comportamentos parecidos para fechar novos caminhos de vazamento.

Como a falha funcionava

A cadeia de ataque recebeu o nome de SearchLeak e juntava tres problemas distintos em uma unica rota. O ponto de partida era um parametro na URL do Copilot. Em vez de tratar esse parametro apenas como uma busca comum, o sistema podia interpreta-lo como uma instrucao.

Na pratica, o atacante montava um link com aparencia legitima. Quando a vitima clicava, o Copilot podia ser manipulado para responder de forma indevida e revelar informacoes que deveriam ficar restritas a conta da pessoa. O detalhe critico esta na combinacao: o perigo nao era so o clique, mas o uso de um dominio confiavel somado a forma como o Copilot processava a consulta.

Sinais de alerta

Como o link parecia oficial, a deteccao depende de observar o comportamento depois do clique. Fique atento a situacoes como:

  • Link da Microsoft que, apos aberto, pede uma acao incomum ou gera uma resposta estranha do Copilot.
  • Acessos inesperados a emails, arquivos ou eventos de calendario.
  • Alertas de login desconhecido em servicos Microsoft ou no Azure AD.
  • Relatos de usuarios sobre resultados do Copilot trazendo dados sensiveis fora de contexto.

O que fazer agora

A falha especifica ja foi corrigida pela Microsoft, mas a resposta nao pode parar em esperar atualizacoes. Oriente a equipe a desconfiar de qualquer link que peca uma acao fora do normal, mesmo quando o dominio parece oficial. Revise tambem os alertas de acesso no ambiente Microsoft 365 e investigue atividades fora do padrao em caixas de email e arquivos compartilhados.

Outra medida essencial e manter a autenticacao multifator ativa, de preferencia com Microsoft Authenticator. Ainda assim, trate os codigos MFA como dados sensiveis: eles nunca devem ser compartilhados em chats, emails ou paginas abertas a partir de links recebidos.

Checklist pratico

  1. Confirme se o Microsoft 365 e seus recursos associados estao atualizados e sem pendencias de correcao.
  2. Revise logs de acesso, alertas de login desconhecido e atividades incomuns em emails, arquivos e calendario.
  3. Treine usuarios para reportar links oficiais que gerem pedidos estranhos ou respostas inesperadas do Copilot.
  4. Mantenha a MFA obrigatoria e reforce que codigos temporarios nunca devem ser informados fora do fluxo oficial.
  5. Crie um processo simples para isolar, analisar e documentar suspeitas envolvendo ferramentas de IA corporativa.

Perguntas frequentes

A falha no Microsoft 365 Copilot ainda esta ativa?

Segundo as informacoes disponiveis, a Microsoft ja corrigiu a vulnerabilidade em seus servidores. Mesmo assim, vale revisar alertas e acessos recentes para identificar possiveis sinais de abuso.

O ataque exigia senha da vitima?

O ponto central foi o clique em um link legitimo da microsoft.com. A partir desse clique, a falha podia liberar acesso indevido aos dados que o Copilot conseguia consultar.

Por que ferramentas anti-phishing podiam falhar?

Porque o link usava um dominio real da Microsoft. Muitos filtros confiam mais em dominios conhecidos, e ataques que abusam de servicos legitimos acabam mais dificeis de perceber.

Proteja sua empresa com a LC SEC

A LC SEC ajuda sua organizacao a avaliar riscos em Microsoft 365, revisar controles de MFA e preparar equipes para reconhecer ataques que abusam de links e servicos legitimos.

Falar com especialista

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes:
https://mfa2go.com/blog/falha-no-microsoft-365-copilot-expoe-emails-e-arquivos-1735689600
Visualizar publicação completa