SearchLeak: Die Schwachstelle, die Microsofts Copilot mit einem Klick zur Daten-Schleuder machte

Im Juni 2026 zogen die Varonis Threat Labs den Vorhang vor einer Schwachstelle, die eher einem Spionageroman als einem CVE-Bericht glich. SearchLeak getauft, konnte diese Exploit-Kette in Microsoft 365 Copilot Enterprise Search die sensibelsten Daten eines Nutzers – E-Mails, einmalige MFA-Codes, Links zum Zurücksetzen von Passwörtern und indizierte Dateien – mit einem einzigen Klick auf einen legitimen microsoft.com-Link abgreifen . Kein Passwort-Formular, kein zweiter Klick, keine direkte Eingabeaufforderung. Für Anti-Phishing-Filter war der Angriff unsichtbar, da er auf Microsofts eigener Domain stattfand .

Die Schwachstelle wurde unter CVE-2026-42824 geführt und von Microsoft selbst als „kritisch“ eingestuft. Sie wurde serverseitig behoben, bevor eine Ausnutzung in freier Wildbahn bekannt wurde. Unternehmen mussten keinen Finger rühren . Die eigentliche Geschichte ist jedoch nicht der Patch, sondern die clevere dreistufige Kette, die dies ermöglichte – und was sie über die Sicherheit KI-gestützter Unternehmenswerkzeuge verrät.

Warum SearchLeak so brisant ist

SearchLeak war kein einzelner, katastrophaler Fehler, sondern eine Verkettung von drei kleineren Schwächen, die geschickt nacheinander ausgenutzt wurden. Alleinstehend wäre keine davon eine Krise gewesen. In ihrer Kombination bildeten sie eine stille Pipeline für Datendiebstahl mit einem Klick, die auf alles zugreifen konnte, was der angemeldete Nutzer über Microsoft Graph erreichen konnte: E-Mails, Kalendereinladungen, Besprechungsnotizen, SharePoint-Dokumente und OneDrive-Dateien .

Die Entdeckung unterstrich ein Muster, vor dem Sicherheitsforscher seit Längerem warnten. Bereits im Januar 2026 hatte dasselbe Labor von Varonis Reprompt enthüllt, einen nahezu identischen Angriff mit einem Klick auf die verbraucherorientierte Version Copilot Personal . Noch früher, im Juni 2025, hatte Aim Security EchoLeak aufgedeckt, eine Schwachstelle, die ganz ohne Nutzerinteraktion (Zero-Click) auskam und eine Prompt-Injection in einem bösartigen Dokument als Waffe nutzte . Die Entdeckung von SearchLeak zeigte, dass Schutzmechanismen für Unternehmen die zugrunde liegende Risikoklasse nicht beseitigt hatten – sie hatten die Messlatte für die Kreativität der Angreifer nur höher gelegt.

Die Drei-Schwachstellen-Kette im Detail

Jedes Glied der SearchLeak-Kette ist für sich genommen lehrreich, doch ihr kombiniertes Zusammenspiel machte den Angriff erst so gefährlich.

Stufe 1: Parameter-to-Prompt-Injection

Copilot Enterprise Search akzeptiert einen URL-Parameter – q – der die Suchanfrage des Nutzers in natürlicher Sprache enthält. Die Varonis-Forscher fanden heraus, dass der Parameter nicht nur eine Suchphrase akzeptierte, sondern beliebige Prompt-Anweisungen .

Ein Angreifer konnte eine URL erstellen, die, wenn sie von einem authentifizierten Nutzer geladen wurde, Copilot anwies, etwas völlig anderes zu tun, als der Link vermuten ließ. Beispielsweise konnte ein Link die KI dazu bringen, das Postfach des Opfers nach einem einmaligen MFA-Code zu durchsuchen, diesen Code in eine Bild-URL einzubetten und an die Antwort anzuhängen. Das Opfer sah eine ganz normale Microsoft-Suchseite. Copilot gehorchte dem eingeschleusten Prompt stillschweigend .

Diese Technik, von Varonis als Parameter-to-Prompt (P2P) Injection bezeichnet, war derselbe Mechanismus, der bereits dem Reprompt-Angriff auf Copilot Personal zugrunde lag .

Stufe 2: Eine Race Condition umgeht die Bereinigung

Wenn Copilot eine Ausgabe generiert, die HTML-Markup (wie ein <img>-Tag) enthält, soll eine serverseitige Bereinigungsfunktion (Sanitizer) die Ausgabe in Code-Blöcke verpacken, sodass der Browser den Code als harmlosen Klartext behandelt. Das Problem: Diese Verpackung findet erst nach der vollständigen Generierung des Inhalts statt .

Der Browser beginnt jedoch mit der Darstellung der Antwort, während diese noch einströmt (Streaming). Ein vom Angreifer eingeschleustes <img>-Tag löst seine Anfrage daher aus, sobald es im Datenstrom auftaucht – noch bevor der Sanitizer überhaupt läuft. Bis der Code-Block erscheint, wurde die Bild-URL längst angefordert und die im Pfad kodierten Daten haben den Browser des Opfers bereits verlassen .

Es handelt sich um eine klassische Race Condition, die im Kontext KI-generierter Inhalte brandgefährlich wird. Ein älterer Verteidigungsmechanismus wurde nicht für eine Welt umgestaltet, in der die KI-Ausgabe selbst vom Angreifer kontrolliert wird.

Stufe 3: Datenabfluss über einen Bing-Endpunkt

Selbst mit den ersten beiden Stufen gab es noch eine letzte Hürde: Die Content Security Policy (CSP) auf Microsofts Domain m365.cloud.microsoft blockiert Bilder von beliebigen externen Servern. Allerdings ist *.bing.com auf der Erlaubnisliste (Allowlist) .

Der Endpunkt „Bildersuche“ von Bing erlaubt es, eine URL serverseitig abzurufen. Beim SearchLeak-Exploit hängte der Angreifer die gestohlenen Daten als Teil des Suchpfads an (z. B.

https://www.bing.com/images/search?q=/Ihr_Sicherheitscode_847291/img.png

Der Angreifer musste lediglich die Protokolle seines eigenen Bild-Endpunkts überwachen, den Bings Server getäuscht hatte.

Die trügerische Einfachheit eines einzigen Klicks

Die gesamte Kette lief automatisch ab. Ein Opfer klickte auf einen Link. Copilot durchsuchte die eigenen Daten. Die Ausgabe wurde zum Browser gestreamt. Ein <img>-Tag wurde ausgelöst. Bings Server rief die URL des Angreifers auf. Die Daten wurden abgegriffen. All dies geschah, bevor der Browser des Nutzers die Seite vollständig geladen hatte.

Der Angriff war schwer zu erkennen, weil:

• Die URL auf einer vertrauenswürdigen Microsoft-Domain lag und so URL-Scanner und Reputationsprüfungen umging .
• Kein zusätzlicher Authentifizierungsdialog oder zweiter Klick ausgelöst wurde – die bestehende Sitzung des Opfers wurde genutzt.
• Alle ausgehenden Anfragen an erlaubte Microsoft-Infrastruktur gingen.

Die Daten, die gestohlen werden konnten, waren nicht theoretisch. Die Forscher hoben insbesondere einmalige MFA-Codes und Passwort-Reset-Links hervor, die für Minuten gültig bleiben, sowie Kalenderdetails und sensible Dokumente, die von Copilot indiziert wurden .

Kritisch, aber mit welchem Score?

CVE-2026-42824 löste eine kurze Debatte über die Schweregradbewertung aus. Microsoft stufte die Schwachstelle intern mit der höchsten Stufe – kritisch – ein, vergab aber einen CVSS-v3.1-Basiswert von 6,5 (mittel). Begründung: Der Angriff erforderte eine Nutzerinteraktion (den einen Klick), was den Score reduzierte .

Einige Quellen meldeten einen Score von 7,5 (hoch) aus der National Vulnerability Database (NVD) . Mehrere Analysen, darunter die von TNW, stellten jedoch klar, dass sowohl der Microsoft CSAF-Eintrag als auch der NVD-Eintrag einen identischen Wert von 6,5 aufwiesen . Die Wahrnehmung eines höheren Scores könnte von unabhängigen Analysten stammen, die mit breiteren Wirkungsannahmen kalkulierten oder einer frühen Berichterstattung folgten.

Unabhängig von der Zahl war der Konsens klar: Ein einziger Klick konnte die sensibelsten Daten eines Unternehmens preisgeben.

Die Copilot-Schwachstellen-Familiengeschichte

SearchLeak entstand nicht im luftleeren Raum. Es gesellte sich zu zwei anderen bahnbrechenden Entdeckungen von KI-Datenabfluss:

• EchoLeak (CVE-2025-32711) — Juni 2025. Eine Zero-Click-Schwachstelle von Aim Security, die eine Prompt-Injection in einem Dokument nutzte, das Copilot automatisch verarbeitete. Keinerlei Nutzerinteraktion nötig. CVSS 9,3 .
• Reprompt — Januar 2026. Varonis zeigte, dass die verbraucherorientierte Version Copilot Personal mit der gleichen P2P-Injection-Technik gekapert werden konnte. Keine Schadsoftware, kein Plug-in, nur eine präparierte URL .

Der rote Faden ist die Prompt-Injection, eine Bedrohung, die die Kernfähigkeit der KI – Anweisungen zu befolgen – in eine Angriffsfläche verwandelt. Jede nachfolgende Schwachstelle hat gezeigt, dass das Patchen einer Oberfläche (Verbraucher vs. Unternehmen) oder das Hinzufügen von Schutzmechanismen (Dokumentenverarbeitung vs. Suchanfragen) die Angriffsklasse nicht beseitigt, sondern lediglich die Kreativität der Angreifer in neue Bahnen lenkt .

Was IT-Verantwortliche jetzt tun sollten

SearchLeak selbst ist behoben und erfordert keine Aktion von Kundenseite. Aber die Technik verschwindet nicht, und Sicherheitsteams sollten die Lehren daraus umsetzen:

Copilot Search-URLs überwachen. Der q-Parameter ist immer noch exponiert. Achten Sie in Ihren Proxy-Protokollen auf codiertes HTML, Skript-ähnliche Nutzdaten oder verdächtig lange Anweisungen in Copilot Enterprise Search-URLs .

Achten Sie auf anomale ausgehende Anfragen an Bing-Bilder-Endpunkte. Ein Nutzer, der plötzlich mehrere Anfragen an *.bing.com mit ungewöhnlichen Pfaden zur Bildersuche generiert – besonders Muster, die codierten oder exfiltrierten Daten ähneln – sollte Alarmglocken schrillen lassen .

Begrenzen Sie die indizierte Datenbasis von Copilot. Setzen Sie auf das Prinzip der geringsten Rechte (Least Privilege) bei der Datenverwaltung. Schränken Sie ein, auf welche SharePoint-Websites, OneDrive-Ordner und Postfächer Copilot zugreifen darf, damit eine künftige Schwachstelle nicht dem Diebstahl aller erreichbaren Daten gleichkommt. Überprüfen und reduzieren Sie regelmäßig die Microsoft Graph-Berechtigungen von Copilot .

Die Enthüllung von SearchLeak war nicht die Geschichte eines einzelnen Patches, sondern eine Warnung vor der sich entwickelnden Schnittstelle von Prompt-Injection und klassischen Web-Schwachstellen. Da Unternehmen KI-Assistenten mit tiefem Zugriff auf ihre Daten einführen, müssen Sicherheitsmodelle, die KI-generierte Inhalte als vertrauenswürdig einstufen, dringend überdacht werden. Die nächste Angriffskette wird nicht dieselben drei Fehler nutzen – aber mit ziemlicher Sicherheit dasselbe Muster wiederholen.