SearchLeak: Yhden klikkauksen M365 Copilot -haavoittuvuus, joka tyhjensi postilaatikot Bingin kautta

Sisääntulokohta oli q-kyselyparametri Copilot Enterprise Searchin URL-osoitteissa. Kuten monet tekoälyavustajat, Copilot vastaanotti luonnollisen kielen hakusanan URL-merkkijonon kautta – mutta toisin kuin perinteinen hakukone, se käsitteli syötteen suoraan osana järjestelmäkehotettaan suoritettavana käskynä. Varonisin tutkijat muotoilivat q-arvon, joka käski Copilotia "lukemaan käyttäjän uusimmat sähköpostit, poimimaan kertakäyttöiset varmennuskoodit, tiivistämään otsikkotiedot ja upottamaan tulokset hakukyselyksi". Koska linkki sijaitsi aidolla microsoft.com-verkkotunnuksella, perinteiset tietojenkalastelunestoratkaisut ja URL-suodattimet eivät todennäköisesti varoittaneet siitä .

Vaihe 2 — HTML-injektion kilpailutilanne

Copilot näytti hakutulokset selaimessa, eikä sen tulostetta ollut riittävästi siistitty. Hyökkääjän syöttämä kehote sai Copilotin tuottamaan vastauksen, joka sisälsi HTML <img>-tunnisteen, jonka src-attribuutti osoitti hyökkääjän hallitsemaan URL-osoitteeseen. Renderöintiputken kilpailutilanne tarkoitti, että selain haki ja latasi kuvan – lähettäen varastetut tiedot koodattuna kuvapyyntöön – ennen kuin Copilotin turvasuodattimet ehtivät tarkastaa ja estää tulosteen. Käytännössä tiedot vuotivat sillä hetkellä, kun tekoäly tuotti vastauksensa ja ennen kuin turvakaide ehti tarkastaa sen .

Vaihe 3 — SSRF Bingin kuvahaun kautta

Viimeisessä tiedonulosvientivaiheessa hyödynnettiin palvelinpuolen pyyntöväärennöstä (SSRF) Microsoftin omaa Bing-kuvahakupalvelua vastaan. img-tunnisteen lähde muotoiltiin niin, että selain teki pyynnön bing.com-osoitteeseen, joka on luotettu sisäinen Microsoft-verkkotunnus. Koska pyyntö vaikutti tulevan Bingin infrastruktuurista, se läpäisi yritysverkon liikenteenhallinnan ja tietovuodonestojärjestelmät (DLP) huomaamatta. Arkaluontoiset tiedot oli koodattu tämän viattomalta vaikuttavan kuvahaun URL-parametreihin ja ohjattu suoraan hyökkääjän palvelimelle .

Mitkä tiedot olivat vaarassa

Kun hyökkäys käynnistyi, Copilot toimi todennetun uhrin käyttöoikeuksilla. Tutkijat osoittivat voivansa varastaa :

• MFA-koodeja ja salasanoja, jotka olivat hautautuneina sähköpostien leipätekstiin
• Täydellisiä sähköpostien otsikoita ja viestisisältöä
• Kalenteritapahtumien tietoja
• SharePoint- ja OneDrive-tiedostojen tiivistelmiä ja indeksoitua sisältöä

Mitkä tahansa tiedot, jotka Copilot Enterprise Search saattoi tuoda esiin käyttäjän Microsoft Graph -käyttöoikeuksien kautta – jotka useimmissa organisaatioissa ovat laajat – olivat potentiaalisesti vaarassa.

Laajuus ja vakavuus

NVD kuvasi perussyyn "erikoismerkkien puutteelliseksi neutraloinniksi komennossa ('komentoinjektio') M365 Copilotissa" . Vakavuuspisteet vaihtelivat:

• NVD CVSS 3.1: 6,5 (Keskitaso), vektorilla AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
• Tenable CVSS v2: 7,8 (Korkea)
• Microsoftin oma luokitus: Sisäisesti Kriittinen

Käytännön riski oli korkea, koska jokainen Microsoft 365 Copilot Enterprisen käyttäjä oli potentiaalinen kohde, hyökkäys vaati vain yhden napsautuksen täysin luotetulta vaikuttavaan URL-osoitteeseen, ja perinteiset sähköpostin ja verkon tietoturvatyökalut olivat sokeita sille. Microsoft vahvisti haavoittuvuuden korjatun palvelinpuolella eikä raportoinut todisteita hyväksikäytöstä luonnossa julkistuksen aikaan .

Kasvava kaava: SearchLeak, Reprompt ja EchoLeak

SearchLeak on kolmas suuri komentoinjektiohyökkäys Microsoft Copilotia vastaan noin vuoden sisällä. Sarja paljastaa rakenteellisen heikkouden, ei yksittäisiä bugeja.

Reprompt (CVE-2026-24307) — Tammikuu 2026

Sama Varonis Threat Labs -tiimi julkisti Repromptin, hyökkäyksen Copilot Personaliin (kuluttajaversio). Se käytti myös q-URL-parametria komentojen syöttämiseen, mutta lisäsi "tuplapyyntö"-tekniikan: Copilotin vuotosuojaus koski vain ensimmäistä vuorovaikutusta, joten uusintayritys saattoi paljastaa profiilitietoja, tiedostotiivistelmiä ja keskustelumuistia. Microsoft korjasi Repromptin tammikuun 2026 korjaustiistaina .

EchoLeak (CVE-2025-32711) — Kesäkuu 2025

Aim Securityn löytämä EchoLeak oli nollaklikkauksen hyväksikäyttö M365 Copilotissa. Yksi sähköposti, joka sisälsi piilotettuja markdown-kuvatunnisteita, saattoi vuotaa tietoja Copilotin käsitellessä viestin – uhri ei tarvinnut edes napsauttaa mitään. Hyökkäys osoitti, että jopa luotetun sisällön passiivinen tekoälykäsittely voitiin valjastaa aseeksi .

SearchLeak (CVE-2026-42824) — Kesäkuu 2026

Yritysversio, jossa yhdistyi P2P-injektio verkkokerrosten bugeihin luoden yhden klikkauksen ketjun, joka käytti hyväksi Bingin omaa infrastruktuuria tiedonsiirtokanavana ohittaen DLP:n täysin .

Yhteinen tekijä: Kaikki kolme hyökkäystä käyttävät hyväksi samaa perusarkkitehtuuria. LLM-pohjaiset avustajat, kuten Copilot, luottavat käyttäjän tarjoamaan sisältöön – URL-parametrit, sähköpostin leipätekstit, hakukyselyt – laillisina ohjeina. Kun ne tuottavat tulostetta, tämä tuloste usein laukaisee automaattista asiakaspuolen toimintaa selaimissa tai sähköpostiohjelmissa (kuvalataukset, linkkien renderöinnit, automaattiset haut), luoden luotettavan sivukanavan tietojen poistumiselle organisaatiosta. Microsoft on paikannut jokaisen haavoittuvuuden erikseen, mutta toistuva kaava viittaa siihen, että komentoinjektio yhdistettynä tulosteen sivukanaviin tulee esiintymään jatkossakin, kunnes arkkitehtuuri itsessään puuttuu siihen, mihin avustajat vetävät rajan käskyjen ja epäluotettavan datan välillä .