Um único clique num link com o endereço da microsoft.com chegava para um atacante levar tudo o que está dentro do Microsoft 365: emails, detalhes de reuniões, ficheiros do SharePoint e do OneDrive e, pior, os códigos de dupla verificação (MFA) que recebes para entrar nas tuas contas. Sem password, sem segundo clique, sem aviso nenhum. A falha tem nome, SearchLeak, e foi a equipa de investigação da Varonis que a descobriu e demonstrou.
O detalhe que me prende não é o bug em si. É o que ele revela sobre a direção em que vamos. Ligámos uma inteligência artificial a tudo o que a empresa tem, demos-lhe acesso à caixa de correio, ao calendário, aos documentos, e esquecemo-nos de uma coisa simples: quem escreve o texto que a IA lê passa a poder dar-lhe ordens. O assistente não foi enganado por um génio do crime; foi simplesmente obediente. Leu uma instrução escondida e cumpriu-a.
Três falhas pequenas, uma porta grande
O SearchLeak não é um truque único, são três fraquezas encaixadas. Primeiro, o endereço do link levava um pedaço de texto que a pesquisa do Copilot tratava como uma ordem, e não como uma simples pergunta (a isto chama-se injeção de instruções, quando dados de entrada passam a comandar o sistema). Depois, durante o instante em que a resposta da IA se formava no ecrã, uma imagem escondida disparava antes de o filtro de segurança limpar o conteúdo. Por fim, essa imagem ia buscar dados a um endereço controlado pelo atacante, abusando de um serviço de pesquisa de imagens do Bing que estava na lista de confiança (uma técnica a que se chama SSRF, em que o próprio servidor é levado a fazer o pedido por nós).
Cada peça, isolada, seria limitada. Juntas, formavam um caminho silencioso para os dados saírem. Dolev Taler, o investigador da Varonis, resumiu-o bem: «cada elo da cadeia é necessário, e é a componente de IA que os liga.»
E há um pormenor que devia tirar o sono a qualquer responsável de segurança: o link apontava para a microsoft.com. Os filtros anti-phishing e as ferramentas que bloqueiam endereços suspeitos não mexem uma palha quando o domínio é de confiança. A armadilha viajava dentro da casa em que confiamos.
Porque é que isto nos toca a todos
O Microsoft 365 é a espinha dorsal de meio mundo, incluindo a esmagadora maioria das organizações portuguesas, das empresas às câmaras e serviços públicos. Quando uma falha destas aparece no assistente que está a ser empurrado para dentro de toda essa gente, não é um problema de laboratório. É a caixa de correio da tua entidade, são os ficheiros de salários, são os relatórios que ainda não saíram.
A boa notícia, e é genuína, é que a Microsoft já corrigiu a falha (registada com o identificador CVE-2026-42824 e classificada como crítica). A correção foi feita do lado deles, no servidor, no início de junho, e a Varonis garante que se tratou de uma prova de conceito, sem sinais de ter sido usada por criminosos. Desta vez, o relógio bateu a nosso favor.
Mas a lição fica, e é maior do que esta falha. As próximas vão seguir o mesmo molde: o alvo deixou de ser a máquina para passar a ser as instruções. Enquanto dermos a estes assistentes acesso a tudo e os deixarmos ler texto que vem de fora sem desconfiança, o texto é a nova arma.
O que podes fazer
Não há aqui um botão mágico, mas há hábitos que reduzem o risco, hoje:
- Desconfia de links não solicitados mesmo quando o endereço é de confiança. Um domínio conhecido deixou de ser garantia de segurança.
- Tira os teus códigos de dupla verificação do email. Usa uma aplicação de autenticação ou uma chave física; um código que chega à caixa de correio é um código que pode ser lido por quem lá entrar.
- Mantém atualizadas as ligações da IA aos teus sistemas e aplica as correções dos fornecedores assim que saem.
- Se geres uma organização, trata as instruções que a IA recebe como entrada não fiável, limita o que o assistente pode aceder ao mínimo necessário, e regista e vigia o que sai para fora.
Ensinámos o assistente a ler tudo o que temos. Faltou ensiná-lo a duvidar de quem lhe escreve. Enquanto isso, a pergunta deixou de ser se a IA pode ser atacada, e passou a ser a quem é que ela obedece.
Fonte original: Varonis Threat Labs.
#StaySafe
🙏🖖
