Un solo clic en un enlace de Microsoft puede agotar su bandeja de entrada. Así es como funciona SearchLick.
TL; DR
Varonis encontró tres errores encadenados en Microsoft 365 Copilot Enterprise Search que podrían permitir a un atacante robar datos con un solo clic en un enlace microsoft.com.
Los investigadores de seguridad de Varonis Threat Labs han revelado una cadena de vulnerabilidades en Microsoft 365 Copilot Enterprise Search que podría permitir a un atacante robar correos electrónicos, entradas de calendario y archivos indexados con un solo clic. El ataque, que Varonis llamó SearchLeak, funcionó a través de una URL creada en un dominio microsoft.com válido, lo que significa que era poco probable que las herramientas tradicionales de filtrado de URL y antiphishing lo señalaran. Microsoft asignó CVE-2026-42824 el 4 de junio y lo calificó como crítico según su propio sistema de gravedad, aunque la puntuación base CVSS v3.1 fue de 6,5, una calificación moderada.
La víctima nunca escribió un mensaje, ingresó una contraseña ni hizo clic por segunda vez. El investigador de Varones, Dolev Taylor, a quien se le acredita como asesor de Microsoft, demostró el ataque como prueba de concepto. Microsoft mitigó la falla en su backend y, dado que Copilot Enterprise es un servicio administrado, no fue necesaria ninguna acción por parte del cliente.
SearchLick encadena tres vulnerabilidades distintas, cada una de ellas insuficiente por sí sola pero secuencialmente destructiva. El punto de entrada es el parámetro q en la URL de búsqueda de Copilot Enterprise, que está destinado a una consulta en lenguaje natural. Varonis llama a esto inyección de parámetro a mensaje: un atacante escribe una URL que le dice al copiloto que busque en el buzón de correo de la víctima, extraiga un dato como la línea de asunto de un correo electrónico y lo incruste en una URL de imagen.
💜 de tecnología de la UE
Los últimos rumores de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris y algo de arte de inteligencia artificial dudoso. Es gratis, todas las semanas, en tu bandeja de entrada. Regístrate ahora!
La víctima hace clic y el copiloto ejecuta las instrucciones sin ninguna intervención adicional.
El segundo eslabón de la cadena es una condición de carrera donde se presenta la respuesta del copiloto. En el bloque de código Rails de Microsoft, la salida se empaqueta para que el navegador trate el marcado como texto, pero el copylot se empaqueta una vez que termina de generarse. El navegador representa la transmisión a medida que llega, por lo que una etiqueta de imagen de inyección activa su solicitud antes de ejecutar el desinfectante.
Cuando la salida es neutral, la solicitud saliente ya se ha enviado.
El tercer componente es el fraude de solicitudes del lado del servidor a través de Bing. La política de seguridad de contenido de m365.cloud.microsoft bloquea imágenes de dominios arbitrarios pero de la lista de permisos *.bing.com. Bing"Buscar por imagenEl punto final recibe una URL de imagen y la lleva al lado del servidor para analizarla.
Apunte al servidor del atacante con los datos robados codificados en la ruta URL y Bing los recuperará para el atacante. El CSP del navegador nunca se aplica porque la solicitud se origina en la infraestructura de Bing.
En conjunto, la secuencia funciona así: la víctima hace clic en un enlace, el copiloto busca sus datos, la respuesta incorpora un valor en una URL de imagen de Bing, el navegador llama a Bing durante la transmisión y Bing extrae la URL del atacante. El atacante lee datos robados de los registros de su propio servidor, por ejemplo, una solicitud de /Your_Security_Code_847291/img.png.
A qué puede acceder el usuario que ha iniciado sesión con sus permisos de Microsoft Graph corresponde al alcance del ataque. Los objetivos más urgentes eran códigos de un solo uso, tokens MFA y enlaces para restablecer contraseñas que se encontraban en las bandejas de entrada, a menudo válidos por unos minutos. Las invitaciones del calendario, las notas de las reuniones y cualquier archivo de SharePoint o OneDrive indexado por Copilot también estaban a su alcance.
El aviso de Microsoft clasifica el error como CWE-77, neutralización inadecuada de elementos especiales utilizados en un comando. La compañía lo calificó como crítico, aunque la puntuación base de CVSS v3.1 de 6,5 refleja la necesidad de interacción del usuario, especialmente ese único clic. El artículo fuente que informa la historia afirmó que NVD asignó una puntuación de 7,5, pero el propio registro CSAF de Microsoft y la entrada NVD muestran un vector CVSS:3.1 idéntico con una puntuación base de 6,5.
Searchlik demostró este patrón por segunda vez contra Varonis Copilot. Teller reveló anteriormente un ataque de repetición contra Copilot Personal, que utilizó la misma técnica de un solo clic para exfiltrar datos. Esta vulnerabilidad se informó a Microsoft en agosto de 2025 y se corrigió en enero de 2026.
SearchLick se mantiene alejado de la búsqueda empresarial a pesar de los rieles adicionales que se supone que debe implementar la capa.
Una clase similar de errores surgió de forma independiente en Echolik, una vulnerabilidad de copiloto sin clic revelada por Aim Security en 2025 y rastreada como CVE-2025-32711 con una puntuación CVSS de 9,3. EchoLeak no requiere interacción del usuario, ya que incorpora inyecciones rápidas en documentos que CoPilot procesa automáticamente. Juntas, estas tres revelaciones establecen un patrón: la inyección rápida es el nuevo componente que hace que las viejas vulnerabilidades web vuelvan a ser peligrosas.
Las condiciones de carrera de SSRF y HTML sanitizer son clases de errores bien entendidas que los equipos de seguridad han estado mitigando durante años. Lo que los hace poderosos en Copilot es la capa de inyección rápida, que crea una manera de activarlos a través de un parámetro de URL que fue diseñado para aceptar lenguaje natural. Los sistemas de inteligencia artificial no solo buscan, sino que siguen instrucciones integradas en las consultas, y esas instrucciones pueden incluir una lógica de filtración de datos que es imposible a través de las interfaces de búsqueda tradicionales.
El impacto se extiende más allá del copiloto. Los sistemas de inteligencia artificial integrados en los flujos de trabajo empresariales heredan los permisos de acceso de sus usuarios, pero introducen nuevas superficies de ataque que las herramientas de seguridad existentes no están diseñadas para detectar. Un filtro de URL que verifica la reputación del dominio pasará un enlace a microsoft.com.
Una política de seguridad de contenido que Bing cree que permitirá solicitudes de eliminación. No se ha diseñado ninguna herramienta para un mediador de IA que convierta los parámetros de URL en instrucciones ejecutables.
Para las organizaciones que ejecutan Microsoft 365 Copilot Enterprise, Varonis recomienda monitorear solicitudes salientes inusuales a las URL de búsqueda de Copilot y puntos finales de imágenes de Bing que llevan cargas útiles o HTML codificados en el parámetro q. Reforzar la gobernanza del acceso a los datos para que Copilot indexe menos contenido reduce el alcance de cualquier vulnerabilidad futura.
Microsoft parchó SearchLick antes de que fuera explotado en la naturaleza y la compañía dice que no hay evidencia de uso malicioso. Pero la rápida expansión de Copilot en entornos empresariales y del sector público significa que la superficie de ataque está creciendo más rápido que la barrera. Tres lanzamientos en seis meses, cada uno de los cuales eludió las protecciones que se suponía que debía implementar la solución anterior, dejan sin resolver la tensión fundamental entre dar a una herramienta de inteligencia artificial acceso a datos amplios y mantener esos datos seguros.
