SearchLeak (CVE-2026-42824): un clic convierte M365 Copilot en proxy de exfiltración
Varonis publicó el 15 de junio de 2026 los mecanismos de CVE-2026-42824: un enlace microsoft.com manipulado encadena inyección de prompt, condición de carrera de renderizado HTML y SSRF en Bing para robar correos y códigos MFA. Corregido en el servidor.
¿Qué es esto?
El 15 de junio de 2026, Varonis Threat Labs publicó los mecanismos de explotación detrás de CVE-2026-42824, una falla de divulgación de información en Microsoft 365 Copilot Enterprise Search que bautizaron como SearchLeak. Cuando Microsoft publicó el CVE en su Patch Tuesday de junio, solo dio la clase de debilidad y el impacto; nosotros lo registramos entonces señalando que los mecanismos quedaban ocultos. Varonis ahora llena ese vacío con una prueba de concepto documentada.
El resultado: un solo clic en un enlace que apunta a un dominio microsoft.com genuino podía exfiltrar los correos de la víctima, sus entradas de calendario, sus notas de reunión y los archivos indexados de SharePoint/OneDrive — incluidos los códigos de un solo uso y códigos MFA que estuvieran en su bandeja de entrada — sin ningún aviso al usuario ni segunda interacción. Microsoft le asignó una calificación crítica; las puntuaciones CVSS discrepan (6,5 según Microsoft, 7,5 según el NVD). Microsoft mitigó la falla en el servidor a principios de junio de 2026, y Varonis solo reporta una PoC, sin explotación observada en la naturaleza.
Cómo funciona
SearchLeak es interesante precisamente porque ninguno de sus componentes es novedoso. Encadena una debilidad propia de la IA sobre dos errores web bien conocidos, y cada eslabón habilita el siguiente.
- Inyección parámetro-a-prompt (P2P). Copilot Enterprise Search lee su parámetro de URL
q— pensado para una consulta en lenguaje natural — como instrucciones y no como una cadena de búsqueda. Un enlace manipulado puede así ordenar a Copilot que busque en el buzón del usuario conectado, tome un campo como el asunto de un correo y lo incruste en una URL de imagen. La víctima no teclea nada; basta con hacer clic en el enlace. - Condición de carrera en el renderizado HTML. La salvaguarda de Microsoft envuelve la salida de Copilot en bloques
<code>para que el marcado se muestre como texto inerte. Pero ese envoltorio se aplica después de la generación, mientras el navegador renderiza el flujo a medida que llega. Una etiqueta<img>inyectada se dibuja y dispara su solicitud antes de que se ejecute el saneador. - Elusión de CSP mediante SSRF de Bing. La Content-Security-Policy de
m365.cloud.microsoftbloquea imágenes de dominios arbitrarios pero incluye en la lista blanca*.bing.com. El endpoint «Search by Image» de Bing acepta una URL de imagen y la obtiene del lado del servidor. Apuntado a un servidor atacante con el texto robado codificado en la ruta, Bing lo recupera — y como la solicitud se origina en la infraestructura de Bing, la CSP del navegador nunca se aplica. Bing se convierte en un proxy de exfiltración involuntario.
En conjunto: la víctima hace clic, Copilot busca en sus datos, la respuesta en flujo incrusta un valor como el asunto de un correo en una URL de imagen de Bing, el navegador llama a Bing a mitad de flujo, y Bing recupera la URL del atacante. Este lee el secreto en los registros de su propio servidor. Desde la perspectiva de la víctima, solo ve a Copilot «pensar» un momento. Aquí no se reproduce ningún payload; ninguno hace falta para entender la lección.
Por qué importa
Copilot Enterprise puede alcanzar todo lo que el usuario conectado pueda alcanzar mediante su acceso a Microsoft Graph, y SearchLeak permite a un atacante heredar ese alcance sin autenticarse jamás. El objetivo más valioso es la bandeja de entrada: códigos de un solo uso, códigos MFA y enlaces de restablecimiento de contraseña suelen seguir siendo válidos durante minutos, suficiente para automatizar una toma de control de cuenta antes de que nadie lo note. El mismo acceso alcanza calendarios, notas de reunión y cualquier archivo indexado con datos salariales, cifras de resultados o planes de adquisición.
El punto estructural es el que subraya Varonis: la inyección de prompt reanima viejas clases de errores normalmente contenidas. SSRF y carreras de saneamiento tienen décadas y suelen ser de bajo impacto; la nueva primitiva de inyección P2P las hace explotables en un contexto donde, de repente, ya no lo son. Es la misma forma que EchoLeak (CVE-2025-32711) en 2025 y que la técnica Reprompt anterior contra Copilot Personal, y resuena con nuestros análisis de CoPirate 365 y de ShareLeak en Copilot Studio. Es también la trifecta letal en producción: datos privados, contenido no confiable y un canal de salida, todo en un mismo turno.
Defensas
SearchLeak está corregido en el servidor, y como Copilot Enterprise es un servicio gestionado, los administradores de tenant no pueden parchear los componentes que fallaron. Lo que sí puede hacer es detectar y reducir el radio de impacto:
- Vigile la firma de inyección. Busque URLs de Copilot Search que lleven payloads codificados o HTML en el parámetro
q, y solicitudes salientes inusuales a los endpoints de imágenes de Bing correlacionadas con sesiones de Copilot. - Minimice lo que Copilot puede indexar. Refuerce la gobernanza de acceso a datos y aplique el mínimo privilegio a los conectores y sitios que Copilot indexa — cada archivo que no ve es un archivo que una fuga futura no puede alcanzar.
- Trate la salida del modelo como entrada no confiable aguas abajo. La causa raíz es marcado de una respuesta LLM actuando sobre un sink del navegador antes de la neutralización. Arquitectónicamente, renderizar-y-luego-sanear es inseguro; sanee antes de que un token transmitido pueda disparar una solicitud, y restrinja las listas blancas de CSP (un dominio permitido con una primitiva de fetch SSRF es un canal de exfiltración).
- Reduzca el valor de los secretos robados. Una autenticación resistente al phishing (passkeys/FIDO2) mitiga el robo de los códigos de un solo uso y MFA que hace peligrosa esta cadena.
- Higiene del lado del usuario. Un enlace en un dominio
microsoft.comlegítimo derrota al anti-phishing y al filtrado de URL; la reputación de URL no es un control aquí. Trate los enlaces de Copilot Search no solicitados como cualquier enlace de acción no solicitado.
Estado
| Elemento | Valor |
|---|---|
| Identificador | CVE-2026-42824 («SearchLeak») |
| Afectado | Microsoft 365 Copilot Enterprise Search |
| Clase | Inyección de prompt → carrera de renderizado HTML → SSRF de Bing (elusión de CSP) |
| Impacto | Divulgación de información / exfiltración de datos en un clic |
| Severidad | Microsoft: crítica · CVSS 6,5 (MSRC) / 7,5 (NVD) |
| Divulgación | 15 de junio de 2026 (Varonis Threat Labs) |
| Parche | Mitigado en el servidor, principios de junio de 2026 — sin acción del cliente |
| En la naturaleza | Sin explotación observada; solo PoC |
Sources
- → https://thehackernews.com/2026/06/one-click-microsoft-365-copilot-flaw.html
- → https://www.bleepingcomputer.com/news/security/new-attack-turned-microsoft-365-copilot-into-1-click-data-theft-tool/
- → https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42824
- → https://nvd.nist.gov/vuln/detail/CVE-2026-42824