Una vulnerabilidad crítica de un solo clic, denominada SearchLeak, en Microsoft 365 Copilot Enterprise Search, podría haber permitido a atacantes exfiltrar información sensible como correos electrónicos, detalles de calendario y archivos indexados. La falla, identificada como CVE-2026-42824, fue mitigada por Microsoft en su backend antes de ser explotada en la naturaleza. Esto significa que las empresas que utilizan Copilot Enterprise Search estaban expuestas a un riesgo significativo.
La cadena de ataque consistía en tres vulnerabilidades encadenadas. Primero, una inyección de parámetro a prompt permitía a los atacantes incrustar comandos en la URL de búsqueda de Copilot. Al hacer clic en un enlace de apariencia legítima de microsoft.com, el sistema de IA interpretaba la cadena maliciosa como instrucciones, iniciando la búsqueda y el procesamiento de datos del usuario.
En segundo lugar, una condición de carrera en la renderización de la respuesta de Copilot permitía que etiquetas de imagen maliciosas inyectadas se ejecutaran antes de que los mecanismos de sanitización las neutralizaran. Finalmente, la exfiltración de datos sorteaba la Política de Seguridad de Contenido (CSP) del navegador al redirigir las solicitudes a los puntos finales de “Búsqueda por imagen” de Bing.com. Como *.bing.com está en la lista blanca de la CSP, Bing actuaba como un proxy, solicitando la URL del atacante que contenía los datos robados (como códigos MFA o títulos de correos), sin que el navegador bloqueara la comunicación.
Aunque Microsoft ha corregido esta vulnerabilidad en sus sistemas, las empresas deben mantener una postura proactiva. La mitigación fue aplicada en el backend de Microsoft, por lo que no hay parches específicos para clientes. Sin embargo, se recomienda monitorear activamente las URL de Copilot Search en busca de cargas útiles codificadas o HTML en el parámetro ‘q’, así como solicitudes salientes inusuales a los puntos finales de imágenes de Bing. Adicionalmente, es crucial revisar y ajustar la gobernanza de acceso a datos para limitar qué información puede indexar Copilot.
Qué significa para tu empresa: La detección temprana de actividades anómalas es fundamental en un panorama de amenazas en constante evolución. Esta vulnerabilidad resalta la importancia de identificar patrones de comunicación inusuales y posibles exfiltraciones de datos. Contar con un SOC con monitoreo 24/7 permite observar y contener este tipo de incidentes, detectando comportamientos sospechosos que las herramientas de seguridad perimetral tradicionales podrían pasar por alto, incluso cuando los enlaces parecen legítimos.
Fuente original: The Hacker News — ver artículo →