Zero-Day & Exploits
Microsoft corrige falhas no Microsoft 365 Copilot e Copilot Chat: risco de exposição de dados sensíveis em IA corporativa
A Microsoft publicou três CVEs de divulgação de informações afetando Microsoft 365 Copilot, Business Chat e Copilot Chat no Edge.
A Microsoft divulgou três vulnerabilidades de Information Disclosure envolvendo recursos do Microsoft 365 Copilot e do Copilot Chat no Microsoft Edge. As falhas foram identificadas como CVE-2026-26129, CVE-2026-26164 e CVE-2026-33111.
O ponto mais importante: por se tratarem de vulnerabilidades em serviços cloud, a Microsoft informa que os problemas já foram mitigados no lado do serviço e que não há ação de patch exigida para usuários finais ou administradores. Essa prática faz parte da iniciativa da Microsoft de publicar CVEs para vulnerabilidades críticas em serviços cloud mesmo quando o cliente não precisa instalar atualização local. A própria Microsoft explicou essa abordagem em seu programa de transparência para Cloud Service CVEs, afirmando que passou a emitir CVEs para falhas críticas em serviços cloud independentemente de o cliente precisar instalar patch ou executar alguma ação direta.
CVEs envolvidas
| CVE | Produto afetado | Tipo | CWE | Impacto principal |
|---|---|---|---|---|
| CVE-2026-26129 | Microsoft 365 Copilot Business Chat | Divulgação de informações | Não detalhado publicamente em todas as fontes | Exposição de informação sensível via rede |
| CVE-2026-26164 | M365 Copilot / Business Chat | Injection / neutralização incorreta de elementos especiais | CWE-74 | Divulgação de informações via rede |
| CVE-2026-33111 | Copilot Chat no Microsoft Edge | Command Injection / neutralização incorreta de elementos usados em comando | CWE-77 | Divulgação de informações via rede |
A CVE-2026-26164 é descrita pelo NVD como uma falha de neutralização incorreta de elementos especiais em saída usada por componente downstream. O impacto informado é permitir que um atacante não autorizado divulgue informações pela rede. O NVD também marca o caso como relacionado a serviço exclusivamente hospedado.
A CVE-2026-33111 afeta o Copilot Chat no Microsoft Edge e é descrita como uma falha de neutralização incorreta de elementos usados em comando, classificada como CWE-77. A pontuação CVSS v3.1 reportada em agregadores como OpenCVE é 7.5, com vetor de rede, baixa complexidade, sem privilégios, sem interação do usuário e impacto alto em confidencialidade.
A CVE-2026-26129 aparece em bases de acompanhamento como uma falha de divulgação de informações no Microsoft 365 Copilot Business Chat, com mitigação já aplicada pela Microsoft e sem ação exigida do cliente.
Por que uma falha de “divulgação de informações” no Copilot é grave?
Em um software comum, uma falha de divulgação de informações pode expor arquivos, respostas internas, memória, metadados ou dados acessíveis pela aplicação. Em um assistente corporativo como o Microsoft 365 Copilot, o risco muda de escala.
O Copilot pode trabalhar com dados de:
- E-mails
- Documentos do SharePoint
- Arquivos do OneDrive
- Conversas do Teams
- Calendários
- Reuniões
- Contatos
- Conteúdo indexado pelo Microsoft Graph
- Conectores externos integrados ao Microsoft 365
A própria documentação da Microsoft explica que o Copilot acessa dados que o usuário já está autorizado a acessar, com base em controles existentes do Microsoft 365, como permissões e RBAC. Também afirma que o Copilot não acessa dados para os quais o usuário não tem permissão.
Isso é importante porque o risco real não está apenas na falha em si. O risco também depende do ambiente: se uma organização tem permissões amplas demais, links compartilhados de forma excessiva, pastas abertas para grupos grandes ou conectores mal configurados, o Copilot pode ter mais contexto disponível para processar e retornar.
O que essas vulnerabilidades têm em comum?
As três falhas giram em torno de uma classe de problema muito relevante para sistemas de IA: entrada, saída e interpretação por componentes intermediários.
Em aplicações modernas, especialmente assistentes de IA, a resposta final não é gerada por uma única peça isolada. O fluxo pode envolver:
prompt do usuário → orquestrador → modelo → busca no Microsoft Graph → conectores → filtros → ferramentas → componente downstream → resposta finalQuando uma saída de um componente é consumida por outro componente, qualquer neutralização incorreta pode gerar comportamento inesperado. Esse tipo de problema aparece em classes como:
- Injection
- Command injection
- Prompt injection indireto
- Interpretação indevida de caracteres especiais
- Quebra de fronteira entre dados e instruções
- Exposição de dados por resposta gerada
- Falha em sanitização antes de chamar ferramenta ou componente downstream
A CVE-2026-26164 é especificamente associada a CWE-74, que trata da neutralização incorreta de elementos especiais em saída usada por um componente downstream. Já a CVE-2026-33111 é associada a CWE-77, ligada à neutralização incorreta de elementos usados em comandos.
Mentalidade do atacante: como uma falha desse tipo poderia ser explorada?
Não há PoC pública confiável nem detalhes técnicos completos publicados pela Microsoft para essas CVEs. Portanto, não é correto inventar um exploit. Mas dá para explicar a lógica defensiva.
Um atacante procuraria uma forma de fazer o sistema interpretar algo como instrução, comando ou dado autorizado quando aquilo deveria ser apenas conteúdo comum.
Fluxo conceitual:
entrada controlada → processamento pelo Copilot → componente downstream interpreta mal → resposta expõe informação que não deveria aparecerEm um cenário de IA corporativa, isso pode envolver:
conteúdo malformado → indexação → recuperação pelo Copilot → instrução embutida no conteúdo → tentativa de influenciar respostaOu:
caracteres especiais → falha de neutralização → comando interno ou filtro downstream → retorno indevido de informaçãoConclusão
As vulnerabilidades CVE-2026-26129, CVE-2026-26164 e CVE-2026-33111 reforçam um ponto importante: assistentes de IA corporativos se tornaram parte da superfície de ataque. Quando uma ferramenta como o Microsoft 365 Copilot é conectada a e-mails, documentos, chats, reuniões e dados externos, uma falha de neutralização, injeção ou comando pode ter impacto direto em confidencialidade.
A boa notícia é que as falhas foram mitigadas no lado cloud da Microsoft e não exigem patch manual dos clientes. A notícia importante para segurança é outra: empresas precisam tratar o Copilot como camada de acesso a dados corporativos. Isso significa revisar permissões, conectores, rótulos, DLP, auditoria e excesso de compartilhamento.
Em IA corporativa, o problema raramente é apenas o modelo. O problema costuma estar no caminho completo: dados demais, permissões demais, conectores demais e pouca visibilidade sobre quem pode acessar o quê.
Fontes consultadas- Microsoft MSRC — iniciativa de transparência para CVEs em serviços cloud.
- NVD — CVE-2026-26164.
- OpenCVE — CVE-2026-33111.
- WindowsForum — resumo da CVE-2026-26129 e mitigação no serviço.
- Microsoft Learn — arquitetura e acesso a dados do Microsoft 365 Copilot.
- Microsoft Learn — proteção de dados, auditoria e permissões no Microsoft 365 Copilot.
- Microsoft Learn — gerenciamento de permissões de conectores do Copilot.
- ITPro — caso anterior envolvendo Copilot e e-mails confidenciais.
