A Microsoft revelou e corrigiu silenciosamente três vulnerabilidades críticas que afetavam o Microsoft 365 Copilot e o Copilot Chat integrado no navegador Edge. As falhas, que poderiam permitir a fuga de dados confidenciais das organizações, foram totalmente resolvidas do lado do servidor, o que significa que os utilizadores e administradores de sistemas não precisam de realizar qualquer ação manual.
De acordo com os relatórios publicados pelo Security Response Center da empresa, as vulnerabilidades foram classificadas com o grau de gravidade "Crítico" e inserem-se na categoria de divulgação de informação. A revelação pública destas correções faz parte da nova iniciativa de transparência da Microsoft para os seus serviços na nuvem.
O perigo da injeção de comandos
As três falhas partilham perfis de ataque bastante semelhantes e preocupantes para o ambiente empresarial. A primeira vulnerabilidade (CVE-2026-26129) afetava diretamente o Business Chat do Microsoft 365 Copilot, permitindo que um atacante não autorizado pudesse extrair informações sensíveis através da rede devido a um processamento incorreto de elementos especiais.
As outras duas falhas partilham uma pontuação CVSS de 7.5 e não exigiam qualquer nível de privilégios ou interação por parte do utilizador para serem exploradas:
CVE-2026-26164: Afetava o M365 Copilot através de falhas na neutralização de elementos que poderiam levar a injeção de código.
CVE-2026-33111: Visava especificamente o Copilot Chat embutido no Microsoft Edge, abrindo portas a potenciais injeções de comandos diretamente no browser.
O novo alvo da inteligência artificial
Estas vulnerabilidades expõem uma nova e crescente superfície de ataque que é única nas ferramentas de produtividade baseadas em inteligência artificial. Como o Copilot tem a capacidade de agregar e processar volumes massivos de dados internos de uma empresa — desde emails e documentos até conversas privadas —, qualquer fraqueza na forma como o sistema lida com comandos pode resultar no vazamento de segredos industriais ou registos internos restritos.
Apesar da gravidade, a Microsoft confirmou que nenhuma das falhas chegou a ser explorada ativamente por cibercriminosos ou divulgada publicamente antes da correção. Os investigadores Estevam Arantes e o independente "0xSombra" foram creditados pelas descobertas.
Como as correções já foram aplicadas diretamente na infraestrutura da nuvem, os sistemas estão protegidos. Ainda assim, os especialistas recomendam que as empresas revejam regularmente as permissões de acesso aos dados concedidas às ferramentas de IA, garantindo que o sistema apenas consegue aceder ao que é estritamente necessário para o trabalho diário.
Nenhum comentário
Seja o primeiro!