Un solo clic en un enlace de Microsoft podría haber drenado tu bandeja de entrada. Así es como funcionaba SearchLeak.

      TL;DRVaronis encontró tres errores encadenados en Microsoft 365 Copilot Enterprise Search que permitieron a un atacante robar datos con un solo clic en un enlace de microsoft.com. Los investigadores de seguridad de Varonis Threat Labs han divulgado una cadena de vulnerabilidades en Microsoft 365 Copilot Enterprise Search que podría haber permitido a un atacante robar correos electrónicos, entradas de calendario y archivos indexados con un solo clic. El ataque, que Varonis llama SearchLeak, funcionó a través de una URL manipulada en un dominio legítimo de microsoft.com, lo que significa que las herramientas tradicionales de anti-phishing y filtrado de URL probablemente no lo marcarían. Microsoft asignó CVE-2026-42824 el 4 de junio y lo calificó como crítico según su propio sistema de severidad, aunque la puntuación base de CVSS v3.1 fue de 6.5, una calificación media. La víctima nunca escribió un aviso, ingresó una contraseña o hizo clic una segunda vez. El investigador de Varonis, Dolev Taler, quien está acreditado en el aviso de Microsoft, demostró el ataque como una prueba de concepto. Microsoft mitigó el defecto en su backend, y dado que Copilot Enterprise es un servicio gestionado, no se requirió ninguna acción por parte del cliente. SearchLeak encadena tres debilidades distintas, cada una insuficiente por sí sola pero devastadora en secuencia. El punto de entrada es el parámetro q en la URL de Copilot Enterprise Search, que está destinado a una consulta en lenguaje natural. Varonis llama a esta inyección de parámetro a aviso: un atacante escribe una URL que le dice a Copilot que busque en el buzón de la víctima, extraiga un dato como la línea de asunto de un correo electrónico y lo incruste dentro de una URL de imagen. El 💜 de la tecnología de la UE Los últimos rumores de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris y un arte de IA cuestionable. Es gratis, cada semana, en tu bandeja de entrada. ¡Inscríbete ahora! La víctima hace clic, y Copilot ejecuta las instrucciones sin ninguna entrada adicional. El segundo enlace en la cadena es una condición de carrera en cómo se renderiza la respuesta de Copilot. La barrera de Microsoft envuelve la salida en bloques de código para que el navegador trate el marcado como texto, pero el envolvimiento ocurre después de que Copilot termina de generar. El navegador renderiza el flujo a medida que llega, por lo que una etiqueta de imagen inyectada envía su solicitud antes de que se ejecute el sanitizador. Para cuando la salida es neutralizada, la solicitud saliente ya ha salido. El tercer componente es un engaño de solicitud del lado del servidor a través de Bing. La política de seguridad de contenido en m365.cloud.microsoft bloquea imágenes de dominios arbitrarios pero permite *.bing.com. El punto final "Buscar por imagen" de Bing acepta una URL de imagen y la obtiene del lado del servidor para analizarla. Apunta esa obtención al servidor de un atacante con datos robados codificados en la ruta de la URL, y Bing la recupera en nombre del atacante. La CSP del navegador nunca se aplica porque la solicitud se origina en la infraestructura de Bing. Juntas, la secuencia funciona así: la víctima hace clic en un enlace, Copilot busca sus datos, la respuesta incrusta un valor en una URL de imagen de Bing, el navegador llama a Bing durante la transmisión, y Bing obtiene la URL del atacante. El atacante lee los datos robados de sus propios registros del servidor, por ejemplo, una solicitud para /Your_Security_Code_847291/img.png. El alcance del ataque coincidió con lo que el usuario conectado podía acceder a través de sus permisos de Microsoft Graph. Los objetivos más sensibles al tiempo eran códigos de un solo uso, tokens de MFA y enlaces de restablecimiento de contraseña que estaban en la bandeja de entrada, a menudo aún válidos durante varios minutos. Las invitaciones de calendario, notas de reuniones y cualquier archivo de SharePoint o OneDrive que Copilot había indexado también estaban al alcance. El aviso de Microsoft clasifica el defecto como CWE-77, neutralización inadecuada de elementos especiales utilizados en un comando. La compañía lo calificó como crítico, aunque la puntuación base de CVSS v3.1 de 6.5 refleja la necesidad de interacción del usuario, específicamente ese único clic. El artículo fuente que informa la historia afirmaba que el NVD asignó una puntuación de 7.5, pero tanto el propio registro CSAF de Microsoft como la entrada del NVD muestran un vector CVSS:3.1 idéntico con una puntuación base de 6.5. SearchLeak es la segunda vez que Varonis ha demostrado este patrón contra Copilot. Taler anteriormente divulgó el ataque Reprompt contra Copilot Personal, que utilizó la misma técnica de un clic para exfiltrar datos. Esa vulnerabilidad fue reportada a Microsoft en agosto de 2025 y parcheada en enero de 2026. SearchLeak se mantuvo contra Enterprise Search a pesar de las barreras adicionales que se supone que ese nivel debe hacer cumplir. La misma clase de error apareció de forma independiente en EchoLeak, una vulnerabilidad de Copilot de cero clics divulgada por Aim Security en 2025 y rastreada como CVE-2025-32711 con una puntuación CVSS de 9.3. EchoLeak no requirió ninguna interacción del usuario, incrustando inyecciones de aviso en documentos que Copilot procesó automáticamente. Juntas, estas tres divulgaciones establecen un patrón: la inyección de aviso es el nuevo ingrediente que hace que las viejas vulnerabilidades web sean peligrosas nuevamente. Las condiciones de carrera de SSRF y sanitizadores HTML son clases de errores bien comprendidas que los equipos de seguridad han estado mitigando durante años. Lo que las hace potentes en Copilot es la capa de inyección de aviso, que crea un camino para activarlas a través de un parámetro de URL que fue diseñado para aceptar lenguaje natural. El sistema de IA no solo busca, sigue instrucciones incrustadas en la consulta, y esas instrucciones pueden incluir lógica de exfiltración de datos que sería imposible a través de una interfaz de búsqueda convencional. Las implicaciones se extienden más allá de Copilot. Los sistemas de IA integrados en flujos de trabajo empresariales heredan los permisos de acceso de sus usuarios pero introducen nuevas superficies de ataque que las herramientas de seguridad existentes no fueron diseñadas para detectar. Un filtro de URL que verifica la reputación del dominio pasaría un enlace a microsoft.com. Una política de seguridad de contenido que confía en Bing permitiría la solicitud de exfiltración. Ninguna de las herramientas fue diseñada para tener en cuenta un intermediario de IA que convierte parámetros de URL en instrucciones ejecutables. Para las organizaciones que ejecutan Microsoft 365 Copilot Enterprise, Varonis recomienda estar atentos a las URL de búsqueda de Copilot que llevan cargas útiles codificadas o HTML en el parámetro q y monitorear solicitudes salientes inusuales a los puntos finales de imagen de Bing. Endurecer la gobernanza del acceso a datos para que Copilot indexe menos contenido reduciría lo que cualquier vulnerabilidad futura podría alcanzar. Microsoft solucionó SearchLeak antes de que se explotara en el mundo real, y la compañía dice que no hay evidencia de uso malicioso. Pero la rápida expansión de Copilot en entornos empresariales y del sector público significa que la superficie de ataque está creciendo más rápido que las barreras. Tres divulgaciones en seis meses, cada una eludiendo las protecciones que se suponía que la solución anterior debía establecer, sugiere que la tensión fundamental entre dar a una herramienta de IA un amplio acceso a datos y mantener esos datos seguros sigue sin resolverse.