- Varonis descubre una “filtración de búsqueda”, que encadena tres fallas en Microsoft 365 Copilot para permitir el robo de datos con un solo clic
- Aproveche la inyección rápida, las condiciones de carrera de HTML y los ataques SSRF de Bing para filtrar datos de Inbox, OneDrive y SharePoint.
- Microsoft parchó CVE-2026-42824 a principios de este mes, otorgándole una calificación crítica de 10/10
Los expertos han descubierto una manera de convertir Microsoft 365 Copilot en una herramienta de robo de datos con un solo clic, capaz de extraer información confidencial de las bandejas de entrada de las personas, instancias de OneDrive y SharePoint.
El método fue parcheado recientemente por Microsoft después de haber sido desarrollado por los investigadores de seguridad Varonis, quienes denominaron el método de búsqueda y explicaron que funciona combinando tres vulnerabilidades.
Por separado, estos tres no pueden causar mucho daño, pero juntos son lo suficientemente poderosos para un parche.
Proxy de exfiltración
Las tres fallas son una inyección de parámetro a solicitud, una condición de carrera de representación HTML y una omisión de la política de seguridad de contenido (CSP) habilitada por la falsificación de solicitudes del lado del servidor (SSRF) de Bing.
El ataque comienza cuando una víctima hace clic en un enlace de Microsoft 365 Copilot Enterprise Search especialmente diseñado. La URL contiene instrucciones ocultas en el parámetro de consulta de búsqueda, que le indican a Copilot que busque el correo electrónico de la víctima, los archivos de OneDrive, los documentos de SharePoint o los datos del calendario e incruste los resultados en una URL de imagen.
Copilot genera su respuesta, lo que hace que el navegador muestre brevemente HTML controlado por el atacante antes de que se complete el proceso de desinfección de Microsoft debido a una condición de carrera. Esto permite la ejecución de una etiqueta de imagen que contiene datos robados.
Finalmente, la solicitud de imagen se enruta a través de la función “Buscar por imagen” de Bing y, debido a la falla SSRF, Bing puede recuperar URL controladas por el atacante en nombre de la víctima y eludir las protecciones de la Política de protección de contenido. Los datos confidenciales incrustados en la URL se transmiten al servidor del atacante, donde pueden recuperarlos del registro de solicitudes web.
“Bing se convierte en un proxy de exfiltración involuntario”, explicaron los investigadores. “Una SSRF clásica, escondida a plena vista detrás de un listado autorizado de CSP”.
Varonis dice que para la víctima, lo que ve es una sesión de búsqueda típica de Copilot y enfatiza que la IA ha transformado vulnerabilidades simples y fáciles de solucionar, como las condiciones de carrera de inyección SSRF y HTML, en vulnerabilidades poderosas.
A principios de este mes, Microsoft parchó la falla, asignándole la calificación de gravedad más alta (10/10 crítica) y rastreándola como CVE-2026-42824.
a través de Computadora pitando
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
