Microsoft corrige SearchLeak, fallo crítico en Copilot Enterprise

La creciente integración de la inteligencia artificial en entornos empresariales está transformando la productividad, pero también está creando nuevas superficies de ataque para los ciberdelincuentes. Un ejemplo reciente es SearchLeak, una peligrosa cadena de vulnerabilidades descubierta en Microsoft 365 Copilot Enterprise que podría haber permitido a atacantes robar información confidencial de organizaciones simplemente mediante una URL especialmente diseñada.

La falla, identificada como CVE-2026-42824, recibió la máxima clasificación de severidad por parte de Microsoft debido a su potencial para acceder y exfiltrar información sensible almacenada en correos electrónicos, documentos corporativos, calendarios, OneDrive y SharePoint sin que la víctima tuviera que realizar acciones complejas.

Los investigadores de seguridad de Varonis fueron los responsables de descubrir esta sofisticada técnica de ataque, demostrando cómo varias vulnerabilidades aparentemente menores pueden combinarse para crear un escenario de compromiso altamente peligroso dentro de plataformas impulsadas por inteligencia artificial.

¿Qué es SearchLeak?

SearchLeak es una cadena de explotación diseñada para abusar de Microsoft 365 Copilot Enterprise Search, una función que permite a los usuarios localizar información corporativa distribuida en diferentes servicios de Microsoft 365.

A diferencia de otros asistentes basados en IA que generan contenido, Copilot Enterprise Search tiene acceso a datos empresariales almacenados en:

• Correos electrónicos corporativos.
• Calendarios y reuniones.
• Documentos de SharePoint.
• Archivos almacenados en OneDrive.
• Información compartida dentro de Microsoft 365.

Precisamente esta capacidad de acceder a grandes volúmenes de información corporativa convierte a Copilot en un objetivo atractivo para los atacantes.

Según Varonis, SearchLeak permitía manipular el comportamiento de la IA para que buscara información específica dentro de la cuenta de la víctima y posteriormente la enviara de forma encubierta a una infraestructura controlada por los atacantes.

Cómo funcionaba la cadena de ataque

La explotación de SearchLeak no dependía de una única vulnerabilidad, sino de la combinación de tres fallos distintos que, individualmente, tenían un impacto limitado.

Los investigadores lograron encadenar:

• Una vulnerabilidad de inyección de parámetros en prompts (Prompt Parameter Injection o P2P).
• Una condición de carrera en el renderizado HTML.
• Un bypass de la Política de Seguridad de Contenidos (CSP) mediante Server-Side Request Forgery (SSRF) a través de Bing.

La combinación de estas debilidades permitía superar múltiples capas de seguridad y obtener información confidencial sin necesidad de comprometer directamente la infraestructura de Microsoft.

Primera fase: inyección de instrucciones mediante una URL

El ataque comenzaba explotando la forma en que Microsoft 365 Copilot Search procesa el parámetro "q" utilizado en las consultas de búsqueda.

Los investigadores descubrieron que era posible insertar instrucciones maliciosas dentro de este parámetro para influir directamente en el comportamiento del asistente de inteligencia artificial.

En lugar de realizar una búsqueda convencional, Copilot recibía órdenes específicas como:

• Buscar información en el buzón de correo del usuario.
• Extraer datos sensibles.
• Formatear la información encontrada.
• Insertar los resultados dentro de una URL controlada por el atacante.

Lo más preocupante es que la víctima no necesitaba introducir ningún comando ni interactuar con el sistema más allá de hacer clic en un enlace aparentemente legítimo.

Una vez abierto el enlace, Copilot ejecutaba automáticamente las instrucciones ocultas.

Segunda fase: explotación de una condición de carrera HTML

La siguiente etapa aprovechaba un error en el proceso de renderización de contenido generado por Copilot.

Durante la transmisión de respuestas, el navegador renderizaba temporalmente HTML sin procesar antes de que este fuera encapsulado dentro de bloques seguros destinados a neutralizar código potencialmente peligroso.

Este breve intervalo permitía que elementos HTML controlados por el atacante se ejecutaran antes de que los mecanismos de protección entraran en acción.

Los investigadores demostraron que podían insertar etiquetas de imagen () especialmente preparadas para iniciar solicitudes externas mientras la respuesta aún estaba siendo procesada.

Aunque la ventana temporal era extremadamente pequeña, resultaba suficiente para desencadenar la siguiente fase del ataque.

Tercera fase: abuso de Bing mediante SSRF

La etapa final explotaba una vulnerabilidad relacionada con la función "Buscar por imagen" de Bing.

Normalmente, las políticas CSP impiden que aplicaciones web envíen información sensible a dominios no autorizados. Sin embargo, los investigadores encontraron una forma de utilizar Bing como intermediario involuntario.

Cuando Copilot generaba una imagen apuntando a una URL controlada por el atacante, Bing realizaba la solicitud para recuperar dicho recurso.

Debido a que la petición era ejecutada por Bing y no directamente por el navegador de la víctima, las restricciones CSP quedaban efectivamente anuladas.

En este escenario, los datos extraídos previamente podían incluirse dentro de la URL de la solicitud.

Como resultado, los atacantes podían recuperar la información simplemente revisando los registros de acceso de su servidor.

Los investigadores describieron este comportamiento como un caso de SSRF oculto detrás de un servicio legítimo incluido en las listas de confianza del sistema.

Qué información podía ser robada

El alcance potencial de SearchLeak era especialmente preocupante debido al acceso privilegiado que Copilot Enterprise Search tiene dentro del ecosistema Microsoft 365.

Entre los datos que podían ser exfiltrados se encontraban:

• Contraseñas almacenadas en correos electrónicos.
• Códigos de acceso temporales.
• Tokens de autenticación.
• Información financiera.
• Documentos corporativos confidenciales.
• Actas de reuniones.
• Eventos de calendario.
• Archivos compartidos en OneDrive.
• Información alojada en SharePoint.

En organizaciones que utilizan ampliamente Microsoft 365 como plataforma central de colaboración, el impacto potencial de una explotación exitosa podía ser significativo.

Un ataque prácticamente invisible para la víctima

Uno de los aspectos más alarmantes del hallazgo es que el proceso de robo de información era prácticamente imperceptible.

Desde la perspectiva del usuario, únicamente parecía que Copilot estaba procesando una consulta durante unos segundos.

No aparecían advertencias, ventanas emergentes ni comportamientos sospechosos visibles.

Mientras tanto, la información sensible podía estar siendo enviada silenciosamente a infraestructura controlada por los atacantes.

Esta capacidad de operar de manera encubierta convierte a SearchLeak en un ejemplo de cómo los sistemas de inteligencia artificial pueden ser manipulados para realizar acciones no previstas por sus desarrolladores.

Microsoft corrige CVE-2026-42824

Microsoft abordó el problema a principios de junio y publicó correcciones para CVE-2026-42824 antes de que se registraran ataques masivos conocidos.

La compañía implementó cambios en la forma en que Copilot procesa consultas, maneja contenido generado dinámicamente y aplica controles de seguridad para evitar que este tipo de cadenas de explotación vuelvan a producirse.

Debido a que la mitigación se realizó del lado del servicio, los usuarios y administradores no necesitan realizar acciones adicionales para protegerse frente a esta vulnerabilidad específica.

La inteligencia artificial abre nuevas puertas a viejas vulnerabilidades

El descubrimiento de SearchLeak pone de manifiesto una realidad cada vez más evidente en el ámbito de la ciberseguridad: las vulnerabilidades tradicionales adquieren una nueva dimensión cuando interactúan con sistemas de inteligencia artificial.

Errores conocidos como SSRF, inyecciones de parámetros o condiciones de carrera han existido durante años. Sin embargo, la capacidad de los asistentes de IA para acceder, interpretar y procesar grandes volúmenes de información amplifica considerablemente el impacto de estos fallos.

Para los expertos, este incidente demuestra que la seguridad de las plataformas basadas en inteligencia artificial debe analizarse no solo desde la perspectiva de los modelos de IA, sino también considerando cómo interactúan con navegadores, motores de búsqueda, servicios externos y repositorios de datos corporativos.

A medida que herramientas como Microsoft 365 Copilot se convierten en componentes esenciales de los entornos empresariales modernos, la identificación y corrección de este tipo de vulnerabilidades será fundamental para evitar que la productividad impulsada por IA se transforme en una nueva vía para el robo de información sensible.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login