Microsoft Copilot Cowork pode ser enganado para exfiltrar arquivos sensíveis, diz relatório
Microsoft Copilot Cowork enfrenta risco de exfiltração de arquivos
Um novo relatório diz que o Microsoft Copilot Cowork pode ser manipulado para vazar arquivos sensíveis do Microsoft 365 por meio de injeção de prompt indireta, expondo empresas a um risco de segurança significativo.
A descoberta se concentra em aprovações automáticas de ações inseguras para envio de e-mails e mensagens no Teams. De acordo com o relatório, o Copilot Cowork pode ser direcionado por um arquivo de skill envenenado contendo instruções de injeção de prompt, permitindo que um atacante exfiltre dados do tenant da vítima usando as próprias permissões do agente e o acesso ao Microsoft Graph.
O Copilot Cowork é um recurso Frontier no Microsoft 365 que opera com as permissões do usuário e pode ler e agir sobre dados em todo o tenant. Os pesquisadores dizem que o ataque funcionou com alta taxa de sucesso mesmo contra modelos de última geração, incluindo Claude Opus 4.7.
Como o ataque funciona
A documentação da Microsoft diz que o Copilot Cowork pede permissão antes de tomar ações sensíveis, como enviar e-mail ou postar no Teams. Mas o relatório afirma que, na prática, mensagens enviadas ao usuário ativo são executadas imediatamente sem aprovação humana. Os usuários também não podem alterar esse comportamento.
Isso cria um caminho para exfiltração: uma mensagem comprometida pode incluir imagens externas ou outro conteúdo que acione requisições de rede quando abertas no Outlook ou no Teams, permitindo que requisições controladas pelo atacante sejam disparadas. O relatório diz que o Copilot Cowork também pode recuperar links de download pré-autenticados para arquivos aos quais o usuário tem acesso, e esses links podem ser usados para baixar o arquivo por qualquer pessoa que os receba.
O cenário de vítima descrito no relatório envolve um usuário com acesso a arquivos do SharePoint ou do OneDrive contendo PII e dados financeiros, que então faz upload de um arquivo de skill no Copilot Cowork que carrega o prompt injetado.
Exposição empresarial mais ampla
Proteja sua privacidade com o Doppler VPN
3 dias de teste grátis. Sem cadastro. Sem registros.
Os pesquisadores dizem que o problema não se limita a uma única fonte de injeção. Ataques similares poderiam vir de dados web em ferramentas como Claude for Chrome ou de servidores MCP conectados. Eles argumentam que o risco reflete um problema mais amplo: dar aos agentes acesso a múltiplos sistemas amplia a superfície de ataque por injeção de prompt, mesmo quando cada capacidade individual parece inofensiva isoladamente.
Separado do caminho de exfiltração por mensagens, os pesquisadores dizem que também divulgaram à Microsoft uma vulnerabilidade que permite diretamente a saída de dados do ambiente sandbox do Copilot Cowork.
Fontes:
Navegue privadamente com Doppler VPN — sem registros, conexão com um toque.