Единственный клик по ссылке Microsoft мог опустошить ваш почтовый ящик. Вот как работал SearchLeak.

      TL;DR В компании Varonis обнаружили три связанных уязвимости в Microsoft 365 Copilot Enterprise Search, которые позволяли злоумышленнику украсть данные одним щелчком по ссылке на microsoft.com. Исследователи безопасности из Varonis Threat Labs раскрыли цепочку уязвимостей в Microsoft 365 Copilot Enterprise Search, которая могла позволить злоумышленнику украсть электронные письма, записи в календаре и индексированные файлы одним щелчком. Атака, которую Varonis называет SearchLeak, работала через специально подготовленный URL на законном домене microsoft.com, что означало, что традиционные инструменты защиты от фишинга и фильтрации URL вряд ли ее обнаружили бы. Microsoft присвоила CVE-2026-42824 4 июня и оценила ее как критическую по своей системе оценки серьезности, хотя базовый балл CVSS v3.1 составил 6.5, что является средним рейтингом. Жертва никогда не вводила подсказку, не вводила пароль и не щелкала второй раз. Исследователь Varonis Долев Талер, который упоминается в уведомлении Microsoft, продемонстрировал атаку в качестве доказательства концепции. Microsoft устранила недостаток на своей стороне, и поскольку Copilot Enterprise является управляемым сервисом, никаких действий со стороны клиентов не потребовалось. SearchLeak объединяет три различных уязвимости, каждая из которых недостаточна сама по себе, но разрушительна в последовательности. Точка входа — это параметр q в URL Copilot Enterprise Search, который предназначен для запроса на естественном языке. Varonis называет это инъекцией параметра в подсказку: злоумышленник пишет URL, который говорит Copilot искать в почтовом ящике жертвы, извлечь часть данных, такую как тема электронного письма, и встроить ее в URL изображения. 💜 технологий ЕС Последние новости из технологической сцены ЕС, история от нашего мудрого основателя Бориса и немного сомнительного ИИ-арта. Это бесплатно, каждую неделю, в вашем почтовом ящике. Подпишитесь сейчас! Жертва щелкает, и Copilot выполняет инструкции без какого-либо дополнительного ввода. Второй элемент в цепочке — это состояние гонки в том, как отображается ответ Copilot. Защитная мера Microsoft оборачивает вывод в кодовые блоки, чтобы браузер воспринимал разметку как текст, но обертка происходит после того, как Copilot завершает генерацию. Браузер отображает поток по мере его поступления, поэтому инъектированный тег изображения отправляет свой запрос до того, как очиститель запустится. К моменту нейтрализации вывода исходящий запрос уже покинул систему. Третий компонент — это подделка серверного запроса через Bing. Политика безопасности контента на m365.cloud.microsoft блокирует изображения с произвольных доменов, но разрешает *.bing.com. Конечная точка Bing "Поиск по изображению" принимает URL изображения и извлекает его на стороне сервера для анализа. Укажите этот запрос на сервер злоумышленника с украденными данными, закодированными в пути URL, и Bing извлекает его от имени злоумышленника. CSP браузера никогда не применяется, потому что запрос исходит из инфраструктуры Bing. В совокупности последовательность работает так: жертва щелкает по ссылке, Copilot ищет их данные, ответ встраивает значение в URL изображения Bing, браузер вызывает Bing во время потоковой передачи, и Bing получает URL злоумышленника. Злоумышленник читает украденные данные из своих собственных серверных журналов, например, запрос на /Your_Security_Code_847291/img.png. Доступ к атаке соответствовал тому, к чему мог получить доступ вошедший в систему пользователь через свои разрешения Microsoft Graph. Наиболее срочными целями были одноразовые коды, токены MFA и ссылки для сброса пароля, находящиеся в почтовом ящике, часто все еще действительные в течение нескольких минут. Календарные приглашения, заметки к встречам и любые файлы SharePoint или OneDrive, которые Copilot индексировал, также были в пределах досягаемости. Уведомление Microsoft классифицирует недостаток как CWE-77, неправильная нейтрализация специальных элементов, используемых в команде. Компания оценила его как критический, хотя базовый балл CVSS v3.1 в 6.5 отражает необходимость взаимодействия с пользователем, в частности, этого единственного щелчка. Исходная статья, сообщающая о событии, утверждала, что NVD присвоила балл 7.5, но как собственная запись CSAF Microsoft, так и запись NVD показывают идентичный вектор CVSS:3.1 с базовым баллом 6.5. SearchLeak — это второй случай, когда Varonis продемонстрировала этот паттерн против Copilot. Талер ранее раскрыл атаку Reprompt против Copilot Personal, которая использовала ту же технику одного щелчка для эксфильтрации данных. Эта уязвимость была сообщена Microsoft в августе 2025 года и исправлена в январе 2026 года. SearchLeak выдержала испытание Enterprise Search, несмотря на дополнительные защитные меры, которые этот уровень должен был обеспечить. Тот же класс ошибок появился независимо в EchoLeak, уязвимости Copilot с нулевым щелчком, раскрытой Aim Security в 2025 году и отслеживаемой как CVE-2025-32711 с баллом CVSS 9.3. EchoLeak не требовала никакого взаимодействия с пользователем, встраивая инъекции подсказок в документы, которые Copilot обрабатывал автоматически. Вместе эти три раскрытия устанавливают паттерн: инъекция подсказок — это новый ингредиент, который делает старые уязвимости веба опасными снова. SSRF и состояния гонки HTML-очистителей — это хорошо известные классы ошибок, с которыми команды безопасности борются на протяжении многих лет. Что делает их мощными в Copilot, так это слой инъекции подсказок, который создает путь для их активации через параметр URL, который был разработан для принятия естественного языка. ИИ-система не просто ищет, она выполняет инструкции, встроенные в запрос, и эти инструкции могут включать логику эксфильтрации данных, которая была бы невозможна через обычный интерфейс поиска. Последствия выходят за рамки Copilot. ИИ-системы, интегрированные в рабочие процессы предприятий, наследуют разрешения доступа своих пользователей, но вводят новые поверхности атаки, которые существующие инструменты безопасности не были разработаны для обнаружения. Фильтр URL, который проверяет репутацию домена, пропустит ссылку на microsoft.com. Политика безопасности контента, которая доверяет Bing, позволит запросу на эксфильтрацию. Ни один из инструментов не был разработан с учетом ИИ-посредника, который преобразует параметры URL в исполняемые инструкции. Для организаций, использующих Microsoft 365 Copilot Enterprise, Varonis рекомендует следить за URL-адресами поиска Copilot, содержащими закодированные полезные нагрузки или HTML в параметре q, и мониторить необычные исходящие запросы к конечным точкам изображений Bing. Ужесточение управления доступом к данным, чтобы Copilot индексировал меньше контента, уменьшит то, что любая будущая уязвимость могла бы достичь. Microsoft исправила SearchLeak до того, как она была использована в дикой природе, и компания утверждает, что нет доказательств злонамеренного использования. Но быстрое расширение Copilot в корпоративные и государственные сектора означает, что поверхность атаки растет быстрее, чем защитные меры. Три раскрытия за шесть месяцев, каждое из которых обходит защиты, которые предыдущая исправление должно было установить, предполагают, что основное напряжение между предоставлением ИИ-инструменту широкого доступа к данным и обеспечением безопасности этих данных остается нерешенным.