SearchLeak: Kuinka yksittäinen klikkaus Microsoftin linkissä saattoi vuotaa sähköpostisi vääriin käsiin

Miksi juuri SearchLeak on merkittävä?

SearchLeak ei ollut yksi massiivinen bugi, vaan kolmen pienemmän heikkouden ketju, jotka yhdessä muodostivat vaarallisen kokonaisuuden. Yksinään niistä ei olisi ollut suurempaa kriisiä, mutta ketjutettuna ne loivat hiljaisen tietovuotoputken, joka pääsi käsiksi kaikkeen, mihin sisäänkirjautuneella käyttäjällä oli oikeudet Microsoft Graphin kautta: sähköposteihin, kalenterikutsuihin, kokousmuistioihin, SharePoint-dokumentteihin ja OneDrive-tiedostoihin .

Haavoittuvuus alleviivasi kaavaa, josta tietoturva-asiantuntijat olivat varoitelleet jo pitkään. Vain kuukausia aiemmin, tammikuussa 2026, Varonis oli paljastanut hyvin samankaltaisen Reprompt-hyökkäyksen kuluttajille suunnattuun Copilot Personal -versioon . Jo ennen sitä, kesäkuussa 2025, Aim Security oli paljastanut EchoLeak-nimisen hyökkäyksen, jossa edes klikkausta ei tarvittu . SearchLeak todisti, etteivät yritystason suojaukset olleet poistaneet ongelman ydintä – ne olivat vain pakottaneet hyökkääjät keksimään luovempia reittejä.

Kolmen bugin ketju – miten se toimi?

Jokainen ketjun lenkki on opettavainen itsessään, mutta vasta niiden yhteisvaikutus teki hyökkäyksestä niin tehokkaan.

Vaihe 1: "Parametrista kehotteeksi" -injektio (P2P)

Copilotin yrityshaku ottaa vastaan luonnollisen kielen kyselyjä URL-parametrin q kautta. Tutkijat huomasivat, ettei parametri hyväksynyt pelkästään hakusanoja, vaan siihen pystyi piilottamaan kokonaisia komentosarjoja tekoälylle . Hyökkääjä pystyi laatimaan verkko-osoitteen, joka vaikutti aivan tavalliselta, mutta sisälsi kehotteen etsiä uhrin postilaatikosta vaikkapa kertakäyttöinen MFA-koodi ja liittää se osaksi Bingin kuvahakuun johtavaa verkko-osoitetta. Uhri näki tutun näköisen hakusivun, Copilot toimi hiljaa taustalla . Tätä tekniikkaa Varonis kutsuu Parametrista kehotteeksi (P2P) -injektioksi, ja se oli sama ydinmekanismi kuin aiemmassa Reprompt-hyökkäyksessä .

Vaihe 2: Kilpailutilanne, joka ohitti suodatuksen

Copilotin olisi pitänyt havaita tuottamansa HTML-koodi (kuten <img>-tagi) ja kääriä se harmittomaksi tekstilohkoksi. Suojamuurissa oli kuitenkin ajoitukseen liittyvä aukko. Selain alkoi esittää Copilotin tuottamaa vastausta heti, kun dataa alkoi virrata – ja ehti siis tulkita <img>-tagin ja tehdä siihen liittyvän kuvapyynnön ennen kuin palvelimen suodatin ehti lisätä suojalohkot . Perinteinen verkkoturvamekanismi ei ollut suunniteltu maailmaan, jossa tekoälyn itse tuottama sisältö on hyökkääjän hallinnassa.

Vaihe 3: Tietojen vienti Bingin sallittua päätepistettä pitkin

Viimeinen este oli Microsoftin sisällön suojauskäytäntö (CSP), joka esti kuvien lataamisen satunnaisilta ulkopuolisilta palvelimilta. Sallittujen listalla oli kuitenkin *.bing.com . Bingin "Hae kuvalla" -toiminto mahdollistaa palvelinpuolen haun. Hyökkäysketjussa varastettu tieto lisättiin osaksi Bing-kuvahaun polkua (esim.

https://www.bing.com/images/search?q=/sinun_varmennekoodisi_847291/img.png

Vaarallisen yksinkertainen klikkaus

Koko ketju toteutui automaattisesti. Uhri klikkasi linkkiä, Copilot haki tietoja, sisältö alkoi virrata selaimeen, <img>-tagi laukesi ja Bing haki tiedot. Tämä kaikki tapahtui ennen kuin internet-sivu oli edes ehtinyt latautua loppuun käyttäjälle näkyväksi.

Hyökkäystä oli vaikea havaita, koska:

• Verkko-osoite oli aidolla ja luotetulla Microsoftin alustalla, minkä vuoksi URL-skannerit ja mainetarkastukset eivät siihen puuttuneet .
• Kirjautumisikkunoita tai lisäklikkauksia ei tarvittu – käytössä oli uhrin olemassa oleva, voimassa oleva istunto.
• Kaikki lähtevät yhteydet kulkivat sallittuun Microsoftin infrastruktuuriin.

Varastettavissa oleva tieto ei ollut teoreettista. Tutkijat nostivat esiin minuutteja voimassa olevat kertakäyttökoodit, salasanan palautuslinkit, kalenteriyhteenvedot ja Copilotin indeksoimat sensitiiviset dokumentit .

Kriittinen haavoittuvuus, kiistelty pistemäärä

CVE-2026-42824 aiheutti pienen keskustelun vaarallisuusluokituksesta. Microsoft itse antoi haavoittuvuudelle korkeimman sisäisen arvionsa, "kriittinen", mutta CVSS 3.1 -pistemääräksi tuli 6.5 (keskitasoa). Syynä oli se, että hyökkäys vaati uhrin vuorovaikutusta (yhden klikkauksen) . Joissakin lähteissä, kuten Yhdysvaltain kansallisessa haavoittuvuustietokannassa (NVD), pistemäärän ilmoitettiin olevan 7.5 (korkea) . Käytännössä kuitenkin useat tarkastukset, mukaan lukien TNW-sivuston analyysi, vahvistivat sekä Microsoftin oman tietoturvatiedotteen (CSAF) että NVD:n tietueen heijastelevan identtistä 6.5-pisteen vektoria . Korkeamman pistemäärän vaikutelma saattoi syntyä itsenäisten analyytikoiden erilaisista vaikutusarvioista.

Pistemäärästä riippumatta yksimielisyys oli selvä: yksi klikkaus saattoi paljastaa organisaation tärkeimmät salaisuudet.

Tekoälyhaavoittuvuuksien sukupuu

SearchLeak ei syntynyt tyhjiössä. Se liittyy kahteen muuhun merkittävään tietovuototapaukseen tekoälyavustajissa:

• EchoLeak (CVE-2025-32711) – Kesäkuu 2025. Nolla klikkausta vaativa haavoittuvuus, jossa kehote oli piilotettu asiakirjaan, jonka Copilot käsitteli automaattisesti. CVSS 9.3 .
• Reprompt – Tammikuu 2026. Kuluttajaversio Copilot Personalista pystyttiin kaappaamaan samalla P2P-injektiotekniikalla. Ei haittaohjelmia, ei liitännäisiä, vain räätälöity verkko-osoite .

Yhteinen tekijä on kehoteinjektio (prompt injection) – hyökkäys, joka muuttaa tekoälyn ydinkyvyn, ohjeiden noudattamisen, hyökkäyspinnaksi. Jokainen uusi haavoittuvuus on osoittanut, ettei yhden pinnan paikkaaminen (kuluttaja vs. yritys) tai lisäsuojauksen rakentaminen poista koko ongelmaluokkaa – se vain ohjaa hyökkääjien luovuuden uuteen suuntaan .

Mitä IT-päättäjien tulisi tehdä nyt?

Itse SearchLeak on korjattu, eikä vaadi asiakkailta toimenpiteitä, mutta hyökkäystekniikka ei katoa minnekään. Tietoturvatiimien kannattaa ottaa opit käyttöön:

Valvo Copilot-haun verkko-osoitteita. q-parametri on edelleen olemassa. Kiinnitä huomiota piilotettuun HTML-koodiin, komentosarjoihin tai epäilyttävän pitkiin ohjeteksteihin Copilotin yrityshaun lokeissa .

Seuraa epätavallisia pyyntöjä Bingin kuvapalveluun. Jos käyttäjä alkaa yllättäen lähettää toistuvia pyyntöjä osoitteeseen *.bing.com, joiden kuvahakupolut muistuttavat koodattua tai salattua tietoa, hälytyskellojen on syytä soida .

Rajoita Copilotin pääsyä tietoon. Noudata minimioikeuksien periaatetta. Rajoita, mitä SharePoint-sivustoja, OneDrive-kansioita ja postilaatikoita Copilot indeksoi, jotta mahdollinen tuleva tietoturva-aukko ei tarkoita kaiken mahdollisen tiedon varastamista. Tarkista ja karsi säännöllisesti Copilotin Microsoft Graph -käyttöoikeuksia .

SearchLeakin paljastus ei ollut tarina yksittäisestä päivityksestä, vaan varoitus siitä, miten kehoteinjektio ja klassiset verkkohaavoittuvuudet nivoutuvat toisiinsa. Kun organisaatiot ottavat käyttöön tekoälyavustajia, joilla on syvä pääsy tietoihin, on aika miettiä uusiksi tietoturvamallit, jotka pitävät tekoälyn tuottamaa sisältöä lähtökohtaisesti luotettuna. Seuraava hyökkäysketju ei käytä juuri näitä kolmea bugia, mutta se noudattaa lähes varmasti samaa kaavaa.