SearchLeak: Odhalení zranitelnosti, která proměnila jedno kliknutí na Microsoft odkaz v tichou krádež dat

Proč je SearchLeak důležitý

SearchLeak nebyl jednou katastrofální chybou. Jednalo se o řetězec tří menších zranitelností, z nichž každá byla pečlivě zneužita v daném pořadí . Samostatně by žádná z nich nepředstavovala krizi, ale dohromady vytvořily tichou exfiltrační linku, která se spustila jediným kliknutím a dosáhla na vše, k čemu měl přihlášený uživatel přístup přes Microsoft Graph: e-maily, pozvánky do kalendáře, poznámky ze schůzek, dokumenty na SharePointu a soubory na OneDrivu .

Tato zranitelnost především podtrhla varovný vzorec, na který bezpečnostní experti upozorňovali již delší dobu. V lednu 2026 tatáž laboratoř Varonis zveřejnila útok Reprompt, téměř identický one-click útok na spotřebitelskou verzi Copilot Personal . Ještě dříve, v červnu 2025, společnost Aim Security odhalila EchoLeak, zero-click zranitelnost, která jako zbraň použila prompt injection vložený do škodlivého dokumentu . Příchod SearchLeaku ukázal, že podnikové bezpečnostní prvky tuto třídu rizik neodstranily – pouze zvýšily laťku pro kreativitu útočníků.

Třífázový řetězec útoku

Každý článek řetězce SearchLeak je sám o sobě poučný, ale jejich kombinovaný účinek je to, co útok učinilo tak účinným.

Fáze 1: Parametr-to-Prompt Injection

Vyhledávání v Copilot Enterprise přijímá URL parametr q, který obsahuje přirozený dotaz uživatele. Výzkumníci z Varonis zjistili, že tento parametr neakceptuje jen vyhledávací frázi, ale i libovolné prompt instrukce .

Útočník tak mohl vytvořit URL adresu, která po načtení přihlášeným uživatelem instruovala Copilota, aby provedl něco zcela jiného, než co odkaz zdánlivě nabízel. Například odkaz mohl AI přikázat, aby ve schránce oběti vyhledala jednorázový MFA kód, vložila ho do URL obrázku a připojila k odpovědi. Oběť viděla pouze značkovou vyhledávací stránku Microsoftu. Copilot zatím v tichosti plnil podstrčený prompt .

Tato technika, kterou Varonis nazývá Parameter-to-Prompt (P2P) injection, byla stejným mechanismem, jenž stál v jádru dřívějšího útoku Reprompt na Copilot Personal .

Fáze 2: Race Condition obcházející sanitizaci

Když Copilot generuje výstup obsahující HTML značky (např. tag <img>), serverový "čistič" (sanitizer) by měl výstup zabalit do kódových bloků, aby jej prohlížeč považoval za neškodný text. Problém? K tomuto zabalení dochází až poté, co je obsah kompletně vygenerován .

Prohlížeč však začne vykreslovat odpověď, zatímco je stále streamována. Útočníkem podstrčený tag <img> proto spustí svůj požadavek ihned, jakmile se objeví ve streamu – dříve, než sanitizer vůbec zasáhne. V okamžiku, kdy se objeví kódový blok, URL obrázku již byla vyžádána a data zakódovaná v její cestě již opustila prohlížeč oběti .

Jedná se o klasickou race condition, která se stala smrtící v kontextu obsahu generovaného AI. Starší obranný mechanismus nebyl přepracován pro svět, kde je samotný výstup AI pod kontrolou útočníka.

Fáze 3: Exfiltrace přes Bing endpoint povolený v CSP

I po překonání prvních dvou fází zde stála poslední překážka: Bezpečnostní politika obsahu (CSP) na doméně m365.cloud.microsoft blokuje obrázky z libovolných externích serverů. Nicméně, doména *.bing.com je na seznamu povolených .

Endpoint Bingu "Vyhledat podle obrázku" umožňuje, aby URL byla načtena na straně serveru. Při útoku SearchLeak útočník připojil ukradená data jako součást cesty pro vyhledávání obrázků (např.

https://www.bing.com/images/search?q=/Vas_Bezpecnostni_Kod_847291/img.png

Útočník tak pouze monitoroval logy svého vlastního obrázkového endpointu, který byl serverem Bingu "přelstěn" a donucen k přístupu.

Klamná jednoduchost jediného kliknutí

Celý řetězec se provedl automaticky. Oběť klikla na odkaz. Copilot prohledal její vlastní data. Výstup byl streamován do prohlížeče. Spustil se tag <img>. Server Bingu načetl útočníkovu URL. Data byla exfiltrována. To vše se stalo dříve, než prohlížeč uživatele dokončil vykreslování stránky.

Útok bylo obtížné detekovat z několika důvodů:

• URL se nacházela na důvěryhodné doméně Microsoftu a obcházela tak URL skenery a kontroly reputace .
• Nespouštěla se žádná výzva k ověření ani druhé kliknutí – bylo využito stávající relace oběti.
• Všechny odchozí požadavky směřovaly na povolenou infrastrukturu Microsoftu.

Data, která mohla být ukradena, nebyla pouze teoretická. Výzkumníci zdůraznili jednorázové MFA kódy a odkazy pro reset hesla, které zůstávají platné i několik minut, spolu s detaily z kalendáře a citlivými dokumenty indexovanými Copilotem .

Hádanka se závažností: Kritická, ale s jakým skóre?

CVE-2026-42824 vyvolalo krátkou debatu o hodnocení závažnosti. Microsoft zranitelnosti přidělil svou nejvyšší interní známku – Kritická – ale vydal k ní základní CVSS v3.1 skóre 6,5 (Střední). Zdůvodnění: útok vyžadoval interakci uživatele (jedno kliknutí), což skóre snížilo .

Některé zdroje uváděly skóre 7,5 (Vysoké) z Národní databáze zranitelností (NVD) . V praxi však několik recenzí, včetně analýzy TNW, poznamenalo, že jak záznam Microsoft CSAF, tak položka v NVD odrážely identické CVSS skóre 6,5 . Vnímání vyššího skóre mohlo pocházet od nezávislých analytiků, kteří počítali s širšími předpoklady dopadu, nebo odráželo rané zpravodajství.

Bez ohledu na číslo byl konsenzus jasný: jediné kliknutí mohlo odhalit nejcitlivější data celé organizace.

Rodokmen zranitelností Copilota

SearchLeak se neobjevil ve vzduchoprázdnu. Připojil se ke dvěma dalším přelomovým objevům v oblasti exfiltrace AI:

• EchoLeak (CVE-2025-32711) – červen 2025. Zero-click zranitelnost od Aim Security, která využila prompt injection vložený do dokumentu, jenž Copilot automaticky zpracoval. Nebyla vyžadována vůbec žádná interakce uživatele. CVSS 9,3 .
• Reprompt – leden 2026. Varonis ukázal, že spotřebitelský Copilot Personal může být unesen stejnou technikou P2P injection. Žádný malware, žádný plugin, pouze vytvořená URL .

Červenou nití je prompt injection, hrozba, která mění klíčovou schopnost AI – následovat instrukce – na útočný povrch . Každá následná zranitelnost ukázala, že záplatování jednoho povrchu (Consumer vs. Enterprise) nebo přidávání bezpečnostních prvků (zpracování dokumentů vs. vyhledávací dotazy) tuto třídu neeliminuje; pouze přesměrovává kreativitu útočníků.

Co by měli administrátoři tenantů dělat nyní

Samotný SearchLeak je již opraven a nevyžaduje žádnou akci ze strany zákazníků. Tato technika však nezmizí a bezpečnostní týmy by měly získané lekce uvést do praxe.

Monitorujte URL adresy vyhledávání Copilota. Parametr q je stále vystaven. V protokolech proxy sledujte zakódované HTML, payloady připomínající skripty nebo podezřele dlouhé instrukční řetězce v URL adresách Copilot Enterprise Search .

Sledujte anomální odchozí požadavky na obrazové endpointy Bingu. Měl by být alarmující každý případ, kdy uživatel náhle generuje více požadavků na *.bing.com s neobvyklými cestami pro vyhledávání obrázků – zejména se vzory, které připomínají zakódovaná nebo exfiltrovaná data .

Omezte indexovaný povrch Copilota. Praktikujte správu dat na principu nejnižších privilegií. Omezte, které sharepointové weby, složky na OneDrivu a poštovní schránky může Copilot indexovat, aby budoucí zranitelnost neznamenala krádež všeho, k čemu má uživatel přístup. Pravidelně provádějte audit a omezte oprávnění Copilota k Microsoft Graph .

Odhalení SearchLeaku nebylo příběhem o jedné opravě, ale varováním před vyvíjejícím se průnikem prompt injection a klasických webových zranitelností. Jak organizace přijímají AI kopiloty s hlubokým přístupem ke svým datům, musí být přehodnoceny bezpečnostní modely, které považují výstup AI za důvěryhodný obsah. Příští řetězec nepoužije stejné tři chyby – ale téměř jistě použije stejný vzorec.