Un solo clic en un enlace de Microsoft podría haber vaciado tu bandeja de entrada. Así es como funcionaba SearchLeak.

      TL;DRVaronis encontró tres errores encadenados en Microsoft 365 Copilot Enterprise Search que permitieron a un atacante robar datos con un solo clic en un enlace de microsoft.com. Los investigadores de seguridad de Varonis Threat Labs han divulgado una cadena de vulnerabilidades en Microsoft 365 Copilot Enterprise Search que podría haber permitido a un atacante robar correos electrónicos, entradas de calendario y archivos indexados con un solo clic. El ataque, que Varonis llama SearchLeak, funcionó a través de una URL manipulada en un dominio legítimo de microsoft.com, lo que significa que las herramientas tradicionales de anti-phishing y filtrado de URL probablemente no lo marcarían. Microsoft asignó CVE-2026-42824 el 4 de junio y lo calificó como crítico bajo su propio sistema de severidad, aunque la puntuación base de CVSS v3.1 fue de 6.5, una calificación media. La víctima nunca escribió un aviso, ingresó una contraseña o hizo clic una segunda vez. El investigador de Varonis, Dolev Taler, quien está acreditado en el aviso de Microsoft, demostró el ataque como una prueba de concepto. Microsoft mitigó la falla en su backend, y dado que Copilot Enterprise es un servicio gestionado, no se requirió acción del cliente. SearchLeak encadena tres debilidades distintas, cada una insuficiente por sí sola pero devastadora en secuencia. El punto de entrada es el parámetro q en la URL de Copilot Enterprise Search, que está destinado a una consulta en lenguaje natural. Varonis llama a esta inyección de parámetro a aviso: un atacante escribe una URL que le dice a Copilot que busque en el buzón de la víctima, extraiga un dato como la línea de asunto de un correo electrónico y lo incruste dentro de una URL de imagen. El 💜 de la tecnología de la UE Los últimos rumores de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris y un arte de IA cuestionable. Es gratis, cada semana, en tu bandeja de entrada. ¡Regístrate ahora! La víctima hace clic, y Copilot ejecuta las instrucciones sin ninguna entrada adicional. El segundo enlace en la cadena es una condición de carrera en cómo se renderiza la respuesta de Copilot. La barrera de Microsoft envuelve la salida en bloques de código para que el navegador trate el marcado como texto, pero el envolvimiento ocurre después de que Copilot termina de generar. El navegador renderiza el flujo a medida que llega, por lo que una etiqueta de imagen inyectada envía su solicitud antes de que se ejecute el sanitizador. Para cuando la salida es neutralizada, la solicitud saliente ya ha salido. El tercer componente es un robo de solicitud del lado del servidor a través de Bing. La política de seguridad de contenido en m365.cloud.microsoft bloquea imágenes de dominios arbitrarios pero permite *.bing.com. El punto final "Buscar por imagen" de Bing acepta una URL de imagen y la recupera del lado del servidor para analizarla. Apunta esa recuperación al servidor de un atacante con datos robados codificados en la ruta de la URL, y Bing la recupera en nombre del atacante. La CSP del navegador nunca se aplica porque la solicitud se origina en la infraestructura de Bing. Juntas, la secuencia funciona así: la víctima hace clic en un enlace, Copilot busca sus datos, la respuesta incrusta un valor en una URL de imagen de Bing, el navegador llama a Bing durante la transmisión, y Bing obtiene la URL del atacante. El atacante lee los datos robados de sus propios registros de servidor, por ejemplo, una solicitud para /Your_Security_Code_847291/img.png. El alcance del ataque coincidió con lo que el usuario conectado podía acceder a través de sus permisos de Microsoft Graph. Los objetivos más sensibles al tiempo eran códigos de un solo uso, tokens de MFA y enlaces de restablecimiento de contraseña que estaban en la bandeja de entrada, a menudo aún válidos durante varios minutos. Las invitaciones de calendario, notas de reuniones y cualquier archivo de SharePoint o OneDrive que Copilot había indexado también estaban al alcance. El aviso de Microsoft clasifica la falla como CWE-77, neutralización inadecuada de elementos especiales utilizados en un comando. La compañía lo calificó como crítico, aunque la puntuación base de CVSS v3.1 de 6.5 refleja la necesidad de interacción del usuario, específicamente ese único clic. El artículo fuente que informa la historia afirmaba que el NVD asignó una puntuación de 7.5, pero tanto el propio registro CSAF de Microsoft como la entrada del NVD muestran un vector CVSS:3.1 idéntico con una puntuación base de 6.5. SearchLeak es la segunda vez que Varonis ha demostrado este patrón contra Copilot. Taler divulgó anteriormente el ataque Reprompt contra Copilot Personal, que utilizó la misma técnica de un clic para exfiltrar datos. Esa vulnerabilidad fue reportada a Microsoft en agosto de 2025 y parcheada en enero de 2026. SearchLeak se mantuvo frente a Enterprise Search a pesar de las barreras adicionales que se supone que ese nivel debe imponer. La misma clase de error apareció de forma independiente en EchoLeak, una vulnerabilidad de Copilot de cero clics divulgada por Aim Security en 2025 y rastreada como CVE-2025-32711 con una puntuación CVSS de 9.3. EchoLeak no requirió ninguna interacción del usuario, incrustando inyecciones de aviso en documentos que Copilot procesó automáticamente. Juntas, estas tres divulgaciones establecen un patrón: la inyección de aviso es el nuevo ingrediente que hace que las viejas vulnerabilidades web sean peligrosas nuevamente. Las condiciones de carrera de SSRF y sanitizador HTML son clases de errores bien entendidas que los equipos de seguridad han estado mitigando durante años. Lo que las hace potentes en Copilot es la capa de inyección de aviso, que crea un camino para activarlas a través de un parámetro de URL que fue diseñado para aceptar lenguaje natural. El sistema de IA no solo busca, sigue instrucciones incrustadas en la consulta, y esas instrucciones pueden incluir lógica de exfiltración de datos que sería imposible a través de una interfaz de búsqueda convencional. Las implicaciones se extienden más allá de Copilot. Los sistemas de IA integrados en flujos de trabajo empresariales heredan los permisos de acceso de sus usuarios pero introducen nuevas superficies de ataque que las herramientas de seguridad existentes no fueron diseñadas para detectar. Un filtro de URL que verifica la reputación del dominio pasaría un enlace a microsoft.com. Una política de seguridad de contenido que confía en Bing permitiría la solicitud de exfiltración. Ninguna de las herramientas fue diseñada para tener en cuenta un intermediario de IA que convierte parámetros de URL en instrucciones ejecutables. Para las organizaciones que ejecutan Microsoft 365 Copilot Enterprise, Varonis recomienda estar atentos a las URL de búsqueda de Copilot que llevan cargas útiles codificadas o HTML en el parámetro q y monitorear solicitudes salientes inusuales a los puntos finales de imágenes de Bing. Endurecer la gobernanza del acceso a datos para que Copilot indexe menos contenido reduciría lo que cualquier vulnerabilidad futura podría alcanzar. Microsoft solucionó SearchLeak antes de que se explotara en la naturaleza, y la compañía dice que no hay evidencia de uso malicioso. Pero la rápida expansión de Copilot en entornos empresariales y del sector público significa que la superficie de ataque está creciendo más rápido que las barreras. Tres divulgaciones en seis meses, cada una eludiendo las protecciones que la solución anterior se suponía que debía establecer, sugieren que la tensión fundamental entre dar a una herramienta de IA un amplio acceso a datos y mantener esos datos seguros sigue sin resolverse.