Un singolo clic su un link Microsoft avrebbe potuto svuotare la tua casella di posta. Ecco come funzionava SearchLeak.

      TL;DRVaronis ha trovato tre bug concatenati in Microsoft 365 Copilot Enterprise Search che consentivano a un attaccante di rubare dati con un clic su un link microsoft.com. I ricercatori di sicurezza di Varonis Threat Labs hanno rivelato una catena di vulnerabilità in Microsoft 365 Copilot Enterprise Search che avrebbe potuto consentire a un attaccante di rubare email, voci di calendario e file indicizzati con un solo clic. L'attacco, che Varonis chiama SearchLeak, funzionava attraverso un URL creato su un dominio legittimo microsoft.com, il che significa che gli strumenti tradizionali di anti-phishing e filtraggio URL erano poco propensi a segnalarlo. Microsoft ha assegnato CVE-2026-42824 il 4 giugno e l'ha classificato come critico secondo il proprio sistema di severità, anche se il punteggio base CVSS v3.1 è stato di 6.5, una valutazione media. La vittima non ha mai digitato un prompt, inserito una password o cliccato una seconda volta. Il ricercatore di Varonis Dolev Taler, che è accreditato nell'avviso di Microsoft, ha dimostrato l'attacco come prova di concetto. Microsoft ha mitigato il difetto sul proprio backend e, poiché Copilot Enterprise è un servizio gestito, non era necessaria alcuna azione da parte del cliente. SearchLeak concatena tre debolezze distinte, ciascuna insufficiente da sola ma devastante in sequenza. Il punto di ingresso è il parametro q nell'URL di Copilot Enterprise Search, che è destinato a una query in linguaggio naturale. Varonis chiama questa iniezione parametro-a-prompt: un attaccante scrive un URL che dice a Copilot di cercare nella casella di posta della vittima, estrarre un pezzo di dati come una riga di oggetto email e incorporarlo all'interno di un URL di immagine. Il 💜 della tecnologia UE Gli ultimi rumori dalla scena tecnologica dell'UE, una storia del nostro saggio fondatore Boris e alcune opere d'arte AI discutibili. È gratuito, ogni settimana, nella tua casella di posta. Iscriviti ora! La vittima clicca e Copilot esegue le istruzioni senza alcun input aggiuntivo. Il secondo link nella catena è una condizione di gara nel modo in cui viene renderizzata la risposta di Copilot. Le protezioni di Microsoft avvolgono l'output in blocchi di codice in modo che il browser tratti il markup come testo, ma l'avvolgimento avviene dopo che Copilot ha finito di generare. Il browser rende il flusso man mano che arriva, quindi un tag immagine iniettato invia la sua richiesta prima che il sanitizzatore venga eseguito. Quando l'output viene neutralizzato, la richiesta in uscita è già partita. Il terzo componente è un attacco di forgia di richiesta lato server tramite Bing. La politica di sicurezza dei contenuti su m365.cloud.microsoft blocca le immagini da domini arbitrari ma consente *.bing.com. L'endpoint "Cerca per immagine" di Bing accetta un URL di immagine e lo recupera lato server per analizzarlo. Punta quel recupero al server di un attaccante con dati rubati codificati nel percorso dell'URL, e Bing lo recupera per conto dell'attaccante. La CSP del browser non si applica mai perché la richiesta origina dall'infrastruttura di Bing. Mettendo insieme, la sequenza funziona così: la vittima clicca su un link, Copilot cerca i propri dati, la risposta incorpora un valore in un URL di immagine Bing, il browser chiama Bing durante lo streaming e Bing estrae l'URL dell'attaccante. L'attaccante legge i dati rubati dai propri log del server, ad esempio una richiesta per /Your_Security_Code_847291/img.png. La portata dell'attacco corrisponde a qualsiasi cosa a cui l'utente connesso potesse accedere tramite le proprie autorizzazioni di Microsoft Graph. I bersagli più sensibili al tempo erano codici monouso, token MFA e link per il ripristino della password presenti nella casella di posta, spesso ancora validi per diversi minuti. Anche gli inviti al calendario, le note delle riunioni e qualsiasi file di SharePoint o OneDrive che Copilot aveva indicizzato erano a portata di mano. L'avviso di Microsoft classifica il difetto come CWE-77, neutralizzazione impropria di elementi speciali utilizzati in un comando. L'azienda lo ha classificato come critico, anche se il punteggio base CVSS v3.1 di 6.5 riflette la necessità di interazione dell'utente, specificamente quel singolo clic. L'articolo sorgente che riporta la storia affermava che il NVD aveva assegnato un punteggio di 7.5, ma sia il record CSAF di Microsoft che l'entry NVD mostrano un identico vettore CVSS:3.1 con un punteggio base di 6.5. SearchLeak è la seconda volta che Varonis ha dimostrato questo schema contro Copilot. Taler aveva precedentemente rivelato l'attacco Reprompt contro Copilot Personal, che utilizzava la stessa tecnica di un clic per esfiltrare dati. Quella vulnerabilità è stata segnalata a Microsoft nell'agosto 2025 e corretta nel gennaio 2026. SearchLeak ha resistito contro Enterprise Search nonostante le ulteriori protezioni che quel livello dovrebbe far rispettare. La stessa classe di bug è apparsa indipendentemente in EchoLeak, una vulnerabilità Copilot zero-click rivelata da Aim Security nel 2025 e tracciata come CVE-2025-32711 con un punteggio CVSS di 9.3. EchoLeak non richiedeva alcuna interazione dell'utente, incorporando iniezioni di prompt in documenti che Copilot elaborava automaticamente. Insieme, queste tre rivelazioni stabiliscono un modello: l'iniezione di prompt è il nuovo ingrediente che rende di nuovo pericolose le vecchie vulnerabilità web. Le condizioni di gara SSRF e sanitizzatore HTML sono classi di bug ben comprese che i team di sicurezza hanno mitigato per anni. Ciò che le rende potenti in Copilot è il livello di iniezione di prompt, che crea un percorso per attivarle tramite un parametro URL progettato per accettare il linguaggio naturale. Il sistema AI non si limita a cercare, segue le istruzioni incorporate nella query, e quelle istruzioni possono includere logiche di esfiltrazione dei dati che sarebbero impossibili attraverso un'interfaccia di ricerca convenzionale. Le implicazioni si estendono oltre Copilot. I sistemi AI integrati nei flussi di lavoro aziendali ereditano le autorizzazioni di accesso dei loro utenti ma introducono nuove superfici di attacco che gli strumenti di sicurezza esistenti non erano stati progettati per rilevare. Un filtro URL che controlla la reputazione del dominio passerebbe un link a microsoft.com. Una politica di sicurezza dei contenuti che si fida di Bing consentirebbe la richiesta di esfiltrazione. Nessuno dei due strumenti è stato progettato per tenere conto di un intermediario AI che converte i parametri URL in istruzioni eseguibili. Per le organizzazioni che utilizzano Microsoft 365 Copilot Enterprise, Varonis raccomanda di prestare attenzione agli URL di ricerca di Copilot che portano payload codificati o HTML nel parametro q e monitorare richieste in uscita insolite agli endpoint delle immagini di Bing. Rafforzare la governance dell'accesso ai dati in modo che Copilot indicizzi meno contenuti ridurrebbe ciò che qualsiasi futura vulnerabilità potrebbe raggiungere. Microsoft ha corretto SearchLeak prima che fosse sfruttato nel mondo reale, e l'azienda afferma che non ci sono prove di uso malevolo. Ma la rapida espansione di Copilot negli ambienti aziendali e del settore pubblico significa che la superficie di attacco sta crescendo più velocemente delle protezioni. Tre rivelazioni in sei mesi, ciascuna eludendo le protezioni che la correzione precedente avrebbe dovuto stabilire, suggeriscono che la tensione fondamentale tra dare a uno strumento AI un ampio accesso ai dati e mantenere quei dati sicuri rimane irrisolta.