June 12, 2026
Bypassing Edge for Business DLP via Graph API
PT-BR
Dhimitri
7 min read
PT-BR
O que é o Edge For Business
O Microsoft Edge for Business basicamente é um navegador corporativo criado pela Microsoft para separar o uso pessoal do profissional dentro do mesmo computador. Ele é ativado automaticamente assim que o usuário faz login com uma conta do domínio da empresa via Microsoft Entra ID, evitando que tudo relacionado à conta da empresa se misture com a pessoal.
O objetivo do Edge for Business é garantir principalmente o acesso a informações internas, como o próprio Office 365, fora da rede da empresa, sem a necessidade de uma VPN ou de um computador fornecido pela mesma.
O navegador se distingue do Edge comum possuindo um ícone de maleta.
A principal funcionalidade de segurança do Edge for Business é a proteção contra vazamento de dados voltada para máquinas fora do ambiente corporativo, como máquinas pessoais dos colaboradores (BYOD).
Quando uma empresa força políticas via Conditional Access e Intune obrigatoriamente para o dispositivo pessoal (BYOD), o usuário vai apenas se autenticar no Office 365 através do Edge for Business e não por outros navegadores, impedindo também, baseado nas políticas que a empresa impuser, que o usuário possa copiar/colar dados, tirar prints, abrir o inspetor de elementos e outras formas que poderiam possibilitar uma exfiltração de dados e impacto na imagem da empresa por um Insider Threat, sendo isso aplicado em um dispositivo pessoal utilizando o Edge for Business.
É citado também pela Microsoft que o Edge For Business reduz o risco em 90% para as empresas
Cenário de bloqueio
Inicialmente quando temos essas politicas aplicadas no Edge For Business caso acessemos diretamente o m365.cloud.microsoft pelo Edge For Business podemos nos deparar com diversos documentos compartilhados aos quais teríamos acesso de dentro do ambiente corporativo, caso o documento já esteja sob nossa posse como por exemplo no OneDrive seja ele confidencial ou não, um botão de "Baixar" é liberado, contudo funcionando somente no ambiente interno da empresa ou máquinas previamente homologadas pelo Intune.
Preparação do ambiente
Visto que o Edge For Business é um navegador comum temos duas opções para a exploração, diretamente com uma extensão como o foxyproxy ou com a própria funcionalidade de configuração de um proxy, o qual vamos setar o proxy local 127.0.0.1 que será o Burp Suite.
Para as requisições HTTPS serem interceptadas corretamente devemos exportar o certificado do Burp Suite diretamente no Edge For business após isso já podemos interceptar todo trafego.
Exploração
No momento em que o usuário interage com o documento ou clica na opção para baixar, o Edge For Business muitas vezes inicialmente realiza uma validação para identificar se o seu usuário possui permissão para download do arquivo, onde ele valida sua autenticação direcionando para a página de autenticação, como o usuário já está autenticado o mesmo é somente redirecionado para a tela do access.mcas.ms. Embora após o primeiro clique o usuário ser direcionado para ir para o access.mcas.ms e posteriormente para o One Drive For Business para baixar o arquivo, o Edge For Business identifica as politicas setadas pela empresa e não permite o download, subindo um pop up dizendo "Sua organização impede que você baixe este arquivo".
Contudo, a partir dai no backend, desde o momento que clicamos em fazer download do arquivo ele realiza uma requisição legítima via GET para o endpoint da Graph API: [https://graph.microsoft.com/v1.0/sites/[ID]/drive/items/ID_DO_ITEM]...
na URL do graph.microsoft.com ele automaticamente cria uma URL pré-assinada via JIT (Just-In-Time), que são tokens de uso único para cada requisição, contudo a URL gerada pode ser utilizada para baixar o arquivo interno.
Conclusão
Embora as políticas via Intune/Conditional Access sejam aplicadas corretamente no ambiente, o fluxo de validação da API falha. Isso acontece porque a Graph API inicialmente valida que o arquivo pertence ao usuário e gera um acesso irrestrito para o download daquele arquivo em background. Contudo, ao tentar realizar o download do arquivo como normalmente seria, o Edge bloqueia o download pela interface do próprio navegador visto que ele validou nas políticas impostas pela empresa que o usuário não pode realizar o download de arquivos internos do Office365 diretamente de máquinas pessoais (BYOD), porém o link com o token já foi gerado na resposta da requisição.
Infelizmente a Microsoft mais de uma vez não considerou esse ponto como válido para o programa de Bug Bounty e também não considerou como uma vulnerabilidade válida no fluxo de download de arquivos por máquinas pessoais controladas pelo Intune, segundo eles sendo um self-attack, não sendo relevante. Quem sabe no futuro eles corrijam este ponto visto que é possível exfiltração de dados que o usuário tenha acesso.
EN-US
What's Edge For Business?
Microsoft Edge for Business is basically an enterprise browser created by Microsoft to separate personal and professional use on the same computer. It activates automatically as soon as the user logs in with a company domain account via Microsoft Entra ID, preventing anything related to the company account from mixing with personal data.
The main goal of Edge for Business is to guarantee access to internal info, like Office 365, outside the corporate network, without needing a VPN or a company-issued computer.
The browser stands out from the regular Edge by showing a briefcase icon.
The main security feature of Edge for Business is data loss prevention (DLP) targeted at machines outside the corporate perimeter, like employees' personal devices (BYOD).
When a company enforces mandatory Conditional Access and Intune policies for personal devices (BYOD), the user can only authenticate to Office 365 through Edge for Business and no other browser. Based on the policies the company enforces, this also blocks the user from copying/pasting data, taking screenshots, opening the developer tools, and other actions that could allow data exfiltration or lead to a brand damage caused by an Insider Threat — all of this applied to a personal device using Edge for Business.
Microsoft also claims that Edge for Business reduces risk for companies by 90%.
Blocking Scenario
Initially, when we have these policies applied, if we access m365.cloud.microsoft directly through Edge for Business, we can see several shared documents that we would normally have access to inside the corporate environment. If we already have access to the document, for example in OneDrive, whether it's confidential or not, a "Download" button is available, but it only actually works within the internal company network or on machines previously enrolled in Intune.
Environment Setup
Since Edge for Business is just a regular browser under the hood, we have two options for exploitation: directly using an extension like FoxyProxy or using the native proxy configuration functionality, where we will set the local proxy to 127.0.0.1 (Burp Suite).
For HTTPS requests to be intercepted correctly, we just need to export the Burp Suite certificate directly into Edge for Business. After that, we can intercept all traffic.
Exploration
The moment the user interacts with the document or clicks the download option, Edge for Business often performs an initial validation to check if the user has permission to download the file. It validates authentication by directing the user to the login page. Since the user is already authenticated, they are just redirected to the access.mcas.ms screen. Even though after this first click the user is routed to access.mcas.ms and later to OneDrive for Business to fetch the file, Edge for Business catches the policies set by the company and blocks the download, showing a pop-up saying "Your organization prevents you from downloading this file."
However, from that point on in the backend, right from the moment we click to download the file, it makes a legitimate GET request to the Graph API endpoint: [https://graph.microsoft.com/v1.0/sites/[ID]/drive/items/ITEM_ID]...
In the graph.microsoft.com URL, it automatically creates a JIT (Just-In-Time) pre-signed URL, which acts as a single-use token for each request. However, the generated URL can be used externally to download the internal file.
Conclusion
Even though Intune/Conditional Access policies are correctly applied in the environment, the API's validation flow fails. This happens because the Graph API initially validates that the file belongs to the user and generates unrestricted access for the download in the background. However, when trying to download the file normally, Edge blocks the download through the browser's UI because it validated against the company policies that the user cannot download internal Office 365 files directly from personal machines (BYOD). But the catch is: the link with the token was already generated in the request response.
Unfortunately, Microsoft dismissed this point more than once as invalid for their Bug Bounty program and didn't consider it a vulnerability in the file download flow for personal machines managed by Intune, claiming it's just a self-attack and not relevant to them. Maybe in the future they'll fix this issue or treat it as a vulnerability.