SearchLeak: איך לחיצה אחת על קישור לגיטימי של מיקרוסופט יכולה הייתה לרוקן לכם את תיבת המייל

ביוני 2026, מעבדות האיומים של חברת אבטחת המידע Varonis חשפו פרצה שהייתה יכולה להיות לקוחה מתסריט של סרט ריגול. הפגיעות, המכונה SearchLeak, הייתה שרשרת ניצול מתוחכמת ב-Microsoft 365 Copilot Enterprise Search, שאִפשרה לשאוב את המידע הרגיש ביותר של המשתמש – אימיילים, קודי אימות חד-פעמיים (MFA), קישורים לאיפוס סיסמה, פרטי לו"ז וקבצים ארגוניים – והכול בלחיצה אחת על קישור תמים לחלוטין לכאורה בדומיין microsoft.com .

בלי לכתוב סיסמה, בלי לחיצה נוספת, ובלי להקליד שום פקודה ל-Copilot – מספיק היה שהקורבן ילחץ על הלינק. המתקפה הייתה בלתי נראית למערכות אנטי-פישינג מסורתיות, כי היא התבצעה כולה על גבי הדומיין הלגיטימי של מיקרוסופט .

לפגיעות הוקצה המזהה CVE-2026-42824 בחומרה קריטית, ומיקרוסופט טיפלה בה בצד השרת (Server-Side) עוד בטרם דווח על ניצול זדוני בפועל. ארגונים לא נדרשו לעשות דבר . אבל הסיפור האמיתי הוא לא על התיקון – אלא על האופן היצירתי שבו שלוש חולשות קטנות, שכל אחת מהן לבדה אולי לא נשמעת דרמטית, התחברו לכדי קו תקיפה הרסני ושקט. התקרית הזאת היא תמרור אזהרה משמעותי לעולם אבטחת הסייבר בעידן הבינה המלאכותית.

למה SearchLeak כל כך מטרידה?

SearchLeak אינה "באג בודד" וקטסטרופלי. היא שרשרת שמורכבת משלוש חולשות קטנות יותר, שכל אחת נוצלה בקפידה ברצף. לבד, אף אחת מהן לא הייתה נחשבת למשבר אבטחה בסדר גודל כזה. יחד, הן יצרו צינור הדלפה אוטומטי שיכול היה להגיע לכל מידע שהמשתמש המחובר יכול היה לגשת אליו דרך Microsoft Graph: אימיילים, פגישות, סיכומי ישיבות, מסמכי SharePoint וקבצי OneDrive .

הגילוי הזה חיזק דפוס שחוקרי אבטחה מזהירים מפניו. בינואר 2026, אותה מעבדת Varonis חשפה את Reprompt – מתקפה דומה כמעט לחלוטין, אך כזו שכיוונה לגרסה הצרכנית של Copilot (Copilot Personal), גם היא בלחיצה אחת . עוד קודם לכן, ביוני 2025, חשפה חברת Aim Security את EchoLeak, פגיעות ללא צורך בלחיצה (Zero-Click), שהשתמשה בהזרקת פקודות למסמך זדוני .

העובדה ש-SearchLeak התגלתה דווקא בגרסה הארגונית, שאמורה להיות מוגנת יותר, הוכיחה שמנגנוני ההגנה המתקדמים לא הצליחו לחסל את קטגוריית הסיכון של הזרקת פרומפטים (Prompt Injection). במקום זאת, המערכות האלה רק העלו את הרף והכריחו את התוקפים להיות יצירתיים יותר.

שלושת השלבים של שרשרת התקיפה

כל שלב בשרשרת SearchLeak הוא שיעור מאלף בפני עצמו, אבל השילוב שלהם הפך את המתקפה לכה אפקטיבית וקטלנית.

שלב 1: הזרקת פרומפט מפרמטר החיפוש (Parameter-to-Prompt Injection)

ממשק Copilot Enterprise Search מקבל פרמטר בכתובת ה-URL – q – שאמור להכיל את שאילתת החיפוש של המשתמש בשפה טבעית. החוקרים ב-Varonis גילו שהפרמטר הזה לא קיבל רק מילות חיפוש – הוא קיבל גם הוראות ביצוע שרירותיות לחלוטין .

תוקף יכול ליצור קישור (URL) שגורם ל-Copilot לעשות משהו שונה לחלוטין ממה שהקישור נראה. למשל, קישור יכול היה להנחות את ה-AI לחפש בתיבת המייל של הקורבן קוד אימות חד-פעמי (MFA), להטמיע אותו בתוך קישור לתמונה, ולהציג אותו בתגובה. הקורבן ראה רק דף חיפוש תמים של מיקרוסופט, בעוד Copilot ביצע בשקט את הפקודה הזדונית .

הטכניקה, ש-Varonis מכנה הזרקת פרמטר-לפרומפט (P2P injection) , היא אותו מנגנון שעמד בבסיס מתקפת Reprompt הקודמת .

שלב 2: מרוץ תהליכים שעוקף את מנגנון הסינון (Race Condition)

כש-Copilot מייצר פלט שמכיל קוד HTML (כמו תגית <img>), מנגנון אבטחה בצד השרת אמור "לנטרל" את הפלט. איך? הוא עוטף אותו בבלוקים של קוד (Code Blocks), כדי שהדפדפן יתייחס אליו כטקסט תמים ולא כתגית פעילה. הבעיה? העטיפה בקוד מתרחשת אחרי שהפלט המלא נוצר .

אבל הדפדפן, מצדו, מתחיל לעבד (Render) את התגובה של השרת עוד בזמן שהמידע מוזרם (Streaming). תגית <img> זדונית שהתוקף הזריק "יורה" את הבקשה לכתובת התמונה ברגע שהיא מופיעה בזרם – לפני שהסניטייזר הספיק לנטרל אותה. עד שהבלוק המגן הופיע, הקישור לתמונה כבר נוצר, החוצה, והקורבן מדפדף הלאה .

זהו מרוץ תהליכים קלאסי (Race Condition), שהפך לקטלני בהקשר של תוכן שנוצר על ידי AI. מנגנון הגנה ישן לא תוכנן מחדש לעולם שבו פלט ה-AI עצמו עלול להיות נשלט על ידי תוקף.

שלב 3: הברחת מידע דרך Bing, שירות "חוקי" לפי מדיניות האבטחה (CSP)

גם אחרי שני השלבים הראשונים, נותרה מכשלה אחרונה: מדיניות אבטחת התוכן (Content Security Policy, CSP) בדומיין של מיקרוסופט ( m365.cloud.microsoft ) חוסמת טעינת תמונות משרתים חיצוניים לא מורשים. אבל, וזה אבל גדול – *.bing.com נמצאת ברשימת האתרים המותרים במפורש (Allowlist) .

התוקף ניצל את נקודת הקצה של Bing לחיפוש תמונות – שירות שמקבל כתובת URL של תמונה, ניגש אליה בעצמו, ומחזיר מידע. ב-SearchLeak, התוקף הטמיע את המידע הגנוב כחלק מהנתיב של כתובת החיפוש (למשל,

https://www.bing.com/images/search?q=/Your_Security_Code_847291/img.png

הדפדפן של הקורבן לא חסם את הבקשה, כי היעד שלה הוא bing.com – שירות לגיטימי של מיקרוסופט. Bing, בתורו, ניגש לשרת של התוקף, "צילם" לכאורה תמונה שלא קיימת, ובפועל – רשם ביומני השרת (Logs) של התוקף את מחרוזת המידע הרגיש שהוטמעה בכתובת. המידע דלף החוצה מבלי לעבור דרך דפדפן הקורבן כלל .

התוקף פשוט היה צריך לעקוב אחר יומני השרת שבשליטתו.

כמה פשוט – ומסוכן

כל השרשרת התרחשה באופן אוטומטי. הקורבן לחץ על קישור. Copilot חיפש במייל שלו. המידע הוזרק, הפלט שודר, תגית התמונה פעלה, השרת של Bing ניגש לכתובת הזדונית – הכול הסתיים עוד לפני שהדף סיים להיטען.

המתקפה הייתה קשה כל כך לזיהוי מכמה סיבות:

• הקישור נראה תמים – דומיין לגיטימי של מיקרוסופט – כך שמערכות סינון כתובות URL ובדיקות מוניטין פשוט לא ידעו להתריע .
• לא הופיעה שום תיבת דו-שיח לאימות, כי נוצל הסשן הפעיל של המשתמש.
• כל התעבורה שיצאה החוצה נראתה לגיטימית ופנתה לתשתיות של מיקרוסופט.

המידע שעמד בסכנה לא היה תיאורטי. החוקרים הדגישו שקודי אימות (MFA) וקישורים לאיפוס סיסמה, שתקפים לכמה דקות, היו חשופים. גם פרטי יומן, מסמכים פנימיים וסיכומי ישיבות שכבר נסרקו על ידי Copilot ומאונדקסים במערכת .

דילמת הציון: "קריטי", אבל כמה?

הדיון סביב CVE-2026-42824 עורר ויכוח קל לגבי חומרתה. מיקרוסופט סיווגה את הפגיעות כבעלת רמת החומרה הפנימית הגבוהה ביותר שלה – קריטי (Critical) – אבל פרסמה ציון בסיס CVSS v3.1 של 6.5 (בינוני). ההסבר: המתקפה דרשה אינטראקציה של המשתמש (הלחיצה האחת), מה שמוריד את הניקוד .

חלק מהמקורות דיווחו על ציון של 7.5 (גבוה) שפורסם במאגר הפגיעויות הלאומי של ארה"ב (NVD) . אולם, בדיקות מעמיקות יותר, כולל הניתוח של אתר TNW, העלו שגם הרשומה של מיקרוסופט (CSAF) וגם הרשומה ב-NVD שיקפו ציון זהה של 6.5, עם אותו וקטור CVSS . ייתכן שהפערים נבעו מניתוח עצמאי של חוקרים שהעריכו השפעה רחבה יותר.

בלי קשר למספר המדויק, המסקנה הייתה ברורה: לחיצה יחידה עלולה לחשוף את המידע הקריטי ביותר של ארגון.

השושלת של פרצות Copilot

SearchLeak לא צצה בחלל ריק. היא הצטרפה לשתי תגליות ציון-דרך נוספות בעולם אבטחת ה-AI:

• EchoLeak (CVE-2025-32711) – יוני 2025. פגיעות Zero-Click מחברת Aim Security, שהשתמשה בהזרקת פרומפט לתוך מסמך ש-Copilot עיבד אוטומטית, ללא שום צורך באינטראקציה מצד המשתמש. ציון CVSS 9.3 .
• Reprompt – ינואר 2026. Varonis הוכיחה שניתן לחטוף את Copilot Personal (הגרסה הצרכנית) באותה טכניקת הזרקת P2P. בלי תוכנה זדונית, בלי תוסף, רק קישור .

החוט המקשר בין כולן הוא הזרקת פרומפט (Prompt Injection) – איום שהופך את היכולת המרכזית של ה-AI, כלומר ציות להנחיות, למשטח תקיפה. כל פגיעות עוקבת הראתה שטלאי על משטח אחד, או הוספת מנגנוני הגנה, לא מחסלים את הסיכון, אלא רק מסיטים את היצירתיות של התוקפים למקום אחר .

מה מנהלי אבטחה בארגונים צריכים לעשות עכשיו

SearchLeak עצמה תוקנה בשרתים של מיקרוסופט, ולא דורשת שום פעולה מצד הלקוחות. אבל הטכניקה לא הולכת לשום מקום, וצוותי אבטחה צריכים להטמיע את הלקחים:

• לנטר כתובות URL של Copilot. פרמטר ה-q עדיין חשוף. חפשו קוד HTML מוצפן, תבניות שנראות כמו פקודות Script, או מחרוזות הוראה ארוכות מדי בבקשות חיפוש של Copilot Enterprise, כפי שהן מופיעות ביומני התקשורת בארגון (Proxy logs) .
• לעקוב אחר תעבורה חריגה ל-Bing. התפרצות פתאומית של בקשות תמונות לשרתי *.bing.com מחשבון משתמש, שמכילות נתיבי חיפוש שנראים כמו מידע מוצפן, אמורה להדליק נורה אדומה .
• להגביל משמעותית את המידע ש-Copilot סורק. אימצו גישה של "הרשאות מינימליות" (Least-Privilege) לנתונים. הגבילו לאילו אתרי SharePoint, תיקיות OneDrive ותיבות מייל Copilot יכול לגשת, כך שפריצה עתידית לא תהפוך אוטומטית לחשיפה של הכול. בצעו ביקורת תקופתית על הרשאות הגישה של Copilot ל-Microsoft Graph .

סיפור SearchLeak אינו רק עוד "עודכנה גרסה – סמנו וי". זוהי אזהרה על המפגש המתפתח והמסוכן בין הזרקת פרומפט לבין חולשות אבטחה קלאסיות מעולם הרשת. ככל שארגונים מאמצים עוזרי AI עם גישה עמוקה למידע הארגוני שלהם, צריך לחשוב מחדש על מודלים אבטחה שמתייחסים לתוצרים של AI כתכנים בטוחים מטבעם. שרשרת התקיפה הבאה לא תשתמש באותן שלוש חולשות בדיוק – אבל היא כמעט בוודאות תמחזר את אותו דפוס חשיבה.