Один клик по ссылке Microsoft мог опустошить ваш почтовый ящик. Вот как работал SearchLeak.

Один клик по ссылке Microsoft мог опустошить ваш почтовый ящик. Вот как работал SearchLeak.

      TL;DR: Varonis обнаружил три связанных уязвимости в Microsoft 365 Copilot Enterprise Search, которые позволяли злоумышленнику украсть данные одним кликом по ссылке на microsoft.com.

      Исследователи безопасности из Varonis Threat Labs раскрыли цепочку уязвимостей в Microsoft 365 Copilot Enterprise Search, которая могла позволить злоумышленнику украсть электронные письма, записи в календаре и индексированные файлы одним кликом. Атака, которую Varonis называет SearchLeak, работала через специально подготовленный URL на легитимном домене microsoft.com, что означает, что традиционные инструменты антифишинга и фильтрации URL вряд ли могли бы ее обнаружить. Microsoft присвоил CVE-2026-42824 4 июня и оценил его как критическую уязвимость по своей системе оценки серьезности, хотя базовый балл CVSS v3.1 составил 6.5, что является средним рейтингом.

      Жертва никогда не вводила подсказку, не вводила пароль и не нажимала второй раз. Исследователь Varonis Долев Талер, который упоминается в уведомлении Microsoft, продемонстрировал атаку в качестве доказательства концепции. Microsoft устранил уязвимость на своей стороне, и поскольку Copilot Enterprise является управляемым сервисом, никаких действий со стороны клиентов не требовалось.

      SearchLeak объединяет три различных уязвимости, каждая из которых недостаточна сама по себе, но разрушительна в последовательности. Точка входа — это параметр q в URL Copilot Enterprise Search, который предназначен для запроса на естественном языке. Varonis называет это инъекцией параметра в подсказку: злоумышленник пишет URL, который говорит Copilot искать в почтовом ящике жертвы, извлекать часть данных, такие как тема электронного письма, и встраивать ее в URL изображения.

      💜 технологий ЕС: последние новости из технологической сцены ЕС, история от нашего мудрого основателя Бориса и немного сомнительного ИИ-арта. Это бесплатно, каждую неделю, в вашем почтовом ящике. Подпишитесь сейчас! Жертва нажимает, и Copilot выполняет инструкции без какого-либо дополнительного ввода.

      Вторая ссылка в цепочке — это состояние гонки в том, как отображается ответ Copilot. Защитная мера Microsoft оборачивает вывод в кодовые блоки, чтобы браузер воспринимал разметку как текст, но обертка происходит после того, как Copilot завершает генерацию. Браузер отображает поток по мере его поступления, поэтому инъектированный тег изображения отправляет свой запрос до того, как очиститель запустится.

      К тому времени, когда вывод нейтрализуется, исходящий запрос уже ушел.

      Третий компонент — это подделка серверного запроса через Bing. Политика безопасности контента на m365.cloud.microsoft блокирует изображения с произвольных доменов, но разрешает *.bing.com. Точка доступа Bing "Поиск по изображению" принимает URL изображения и загружает его на стороне сервера для анализа.

      Укажите этот запрос на сервер злоумышленника с украденными данными, закодированными в пути URL, и Bing извлекает его от имени злоумышленника. CSP браузера никогда не применяется, потому что запрос исходит из инфраструктуры Bing.

      Вместе последовательность работает так: жертва нажимает на ссылку, Copilot ищет их данные, ответ встраивает значение в URL изображения Bing, браузер вызывает Bing во время потоковой передачи, и Bing получает URL злоумышленника. Злоумышленник читает украденные данные из своих собственных серверных логов, например, запрос на /Your_Security_Code_847291/img.png.

      Объем атаки соответствовал тому, к чему мог получить доступ вошедший в систему пользователь через свои разрешения Microsoft Graph. Наиболее срочными целями были одноразовые коды, токены MFA и ссылки для сброса пароля, находящиеся в почтовом ящике, которые часто оставались действительными в течение нескольких минут. Календарные приглашения, заметки встреч и любые файлы SharePoint или OneDrive, которые Copilot индексировал, также были в пределах досягаемости.

      Уведомление Microsoft классифицирует уязвимость как CWE-77, неправильная нейтрализация специальных элементов, используемых в команде. Компания оценила ее как критическую, хотя базовый балл CVSS v3.1 в 6.5 отражает необходимость взаимодействия с пользователем, в частности, этого единственного клика. Исходная статья, сообщающая о событии, утверждала, что NVD присвоил балл 7.5, но как собственная запись CSAF Microsoft, так и запись NVD показывают идентичный вектор CVSS:3.1 с базовым баллом 6.5.

      SearchLeak — это второй случай, когда Varonis продемонстрировал этот шаблон против Copilot. Талер ранее раскрыл атаку Reprompt против Copilot Personal, которая использовала ту же технику одного клика для эксфильтрации данных. Эта уязвимость была сообщена Microsoft в августе 2025 года и исправлена в январе 2026 года.

      SearchLeak устоял против Enterprise Search, несмотря на дополнительные защитные меры, которые этот уровень должен был обеспечить.

      Та же категория ошибки появилась независимо в EchoLeak, уязвимости Copilot с нулевым кликом, раскрытой Aim Security в 2025 году и отслеживаемой как CVE-2025-32711 с баллом CVSS 9.3. EchoLeak не требовал никакого взаимодействия с пользователем, встраивая инъекции подсказок в документы, которые Copilot обрабатывал автоматически. Вместе эти три раскрытия устанавливают шаблон: инъекция подсказок — это новый ингредиент, который делает старые веб-уязвимости снова опасными.

      SSRF и состояния гонки очистителя HTML — это хорошо известные классы ошибок, которые команды безопасности устраняли на протяжении многих лет. Что делает их мощными в Copilot, так это слой инъекции подсказок, который создает путь для их активации через параметр URL, который был разработан для принятия естественного языка. ИИ-система не просто ищет, она выполняет инструкции, встроенные в запрос, и эти инструкции могут включать логику эксфильтрации данных, которая была бы невозможна через обычный интерфейс поиска.

      Последствия выходят за рамки Copilot. ИИ-системы, интегрированные в рабочие процессы предприятий, наследуют разрешения доступа своих пользователей, но вводят новые поверхности атаки, которые существующие инструменты безопасности не были созданы для обнаружения. Фильтр URL, который проверяет репутацию домена, пропустит ссылку на microsoft.com.

      Политика безопасности контента, которая доверяет Bing, позволит запросу на эксфильтрацию. Ни один из инструментов не был разработан с учетом ИИ-посредника, который преобразует параметры URL в исполняемые инструкции.

      Для организаций, использующих Microsoft 365 Copilot Enterprise, Varonis рекомендует следить за URL-адресами поиска Copilot, содержащими закодированные полезные нагрузки или HTML в параметре q, и мониторить необычные исходящие запросы к конечным точкам изображений Bing. Ужесточение управления доступом к данным, чтобы Copilot индексировал меньше контента, сократит то, к чему может получить доступ любая будущая уязвимость.

      Microsoft исправил SearchLeak до того, как он был использован в дикой природе, и компания утверждает, что нет доказательств злонамеренного использования. Но быстрое расширение Copilot в корпоративные и государственные сектора означает, что поверхность атаки растет быстрее, чем защитные меры. Три раскрытия за шесть месяцев, каждое из которых обходит защиты, которые должно было установить предыдущее исправление, предполагают, что основное напряжение между предоставлением ИИ-инструменту широкого доступа к данным и обеспечением безопасности этих данных остается нерешенным.

Other articles

LinkedIn connection results in World Cup debut for Cape Verde. LinkedIn connection results in World Cup debut for Cape Verde. Roberto Lopes, a defender for Shamrock Rovers and originally from Dublin, was recruited for the Cape Verde national team through LinkedIn. He is now competing against Spain at the 2026 World Cup. Huawei's 'chip queen' reveals the Tau Scaling Law. Huawei's 'chip queen' reveals the Tau Scaling Law. He Tingbo has returned to introduce a new scaling law and the LogicFolding architecture, which Huawei asserts can achieve 1.4nm chip density by 2031, all without the use of EUV lithography. This forthcoming foldable device is elevating zoom capture to extreme levels, well beyond what Apple and Samsung offer. This forthcoming foldable device is elevating zoom capture to extreme levels, well beyond what Apple and Samsung offer. The forthcoming Vivo X Fold 6 appears to prioritize photography, featuring a 200MP main sensor and support for a ZEISS 200mm teleconverter. A single click on a Microsoft link could have emptied your inbox. Here's how SearchLeak functioned. A single click on a Microsoft link could have emptied your inbox. Here's how SearchLeak functioned. Varonis linked three vulnerabilities in Microsoft 365 Copilot Enterprise Search to create a one-click method for data theft that evaded phishing filters and CSP safeguards. This forthcoming foldable device is elevating zoom capture to extraordinary heights, surpassing both Apple and Samsung. This forthcoming foldable device is elevating zoom capture to extraordinary heights, surpassing both Apple and Samsung. The upcoming Vivo X Fold 6 is anticipated to prioritize camera capabilities, featuring a 200MP main sensor and support for a ZEISS 200mm teleconverter. A network of X accounts is promoting AI nudify tools, causing significant distress for the victims. A network of X accounts is promoting AI nudify tools, causing significant distress for the victims. Researchers indicate that coordinated X accounts are assisting AI nudify applications in expanding their user base, as platforms such as Undress AI introduce paid video features and referral incentives, while those affected grapple with mitigating the impact.

Один клик по ссылке Microsoft мог опустошить ваш почтовый ящик. Вот как работал SearchLeak.

Varonis связал три уязвимости в Microsoft 365 Copilot Enterprise Search в путь кражи данных в один клик, который обошел фильтры фишинга и защиты CSP.