उत्तरप्रकाशित26 स्रोत
SearchLeak: वो एक-क्लिक वाला M365 Copilot बग जिसने Bing के ज़रिए मेलबॉक्स खाली कर दिए
SearchLeak एक ऐसी कमजोरियों की चेन थी जहां पीड़ित के एक भरोसेमंद microsoft.com लिंक पर क्लिक करते ही M365 Copilot चुपचाप MFA कोड, ईमेल, कैलेंडर और शेयरपॉइंट फाइलें चुरा सकता था। हमले ने तीन खामियों को आपस में जोड़ा: Copilot के निर्देशों को हाईजैक करने के लिए पैरामीटर टू प्रॉम्प्ट इंजेक्शन, फिल्टर से पहले डेटा लीक कर...
307K0
AI संकेत
openai.comCreate a landscape editorial hero image for this Studio Global article: What is the SearchLeak vulnerability (CVE-2026-42824) in Microsoft 365 Copilot Enterprise, how did the three-step exploit chain — combining. Article summary: ## SearchLeak (CVE-2026-42824) — Overview. Topic tags: general, government, general web, user generated, academic. Reference image context from search candidates: Reference image 1: visual subject "# Copirate 365 at DEF CON: Plundering in the Depths of Microsoft Copilot (CVE-2026-24299). #llm #data exfiltration #prompt injection #copilot #spaiware. This is a writeup of my DEF" source context "Copirate 365 at DEF CON: Plundering in the Depths of Microsoft ..." Reference image 2: visual subject "# One-Click Microsoft 365 Copilot Flaw Could Have Let Attackers Steal Emails, Files, and MFA Codes. A single click on a trusted Microsoft link could have let an attacker p
15 जून, 2026 को, Varonis Threat Labs ने एक ऐसी कमजोरियों की चेन का खुलासा किया जिसने Microsoft 365 Copilot एंटरप्राइज सर्च को एक क्लिक वाले डेटा चोरी के औज़ार में बदल दिया। पीड़ित को बस एक भरोसेमंद दिखने वाले microsoft.com लिंक पर क्लिक करना था, और Copilot चुपचाप उनके मेलबॉक्स को स्कैन करके MFA कोड और ईमेल के विषय निकाल लेता और Bing के अपने इंफ्रास्ट्रक्चर के ज़रिए डेटा को बाहर भेज देता । माइक्रोसॉफ्ट ने इस खामी को CVE-2026-42824 के रूप में ट्रैक किया और उसी दिन सर्वर-साइड फिक्स जारी कर दिया, इसलिए किसी क्लाइंट अपडेट की ज़रूरत नहीं पड़ी
।
SearchLeak नाम का यह हमला, बारह महीनों में माइक्रोसॉफ्ट के Copilot परिवार के खिलाफ तीसरा बड़ा प्रॉम्प्ट-इंजेक्शन हमला है—यानी यह कोई अकेली घटना नहीं, बल्कि एक पैटर्न है जिसे सुरक्षा टीमों को समझना ज़रूरी है।
तीन-चरणीय हमले की चेन
SearchLeak की ताकत एक अपेक्षाकृत नई AI-विशिष्ट कमजोरी को दो पुरानी वेब सुरक्षा बग्स के साथ जोड़ने में थी। अकेले-अकेले, कोई भी खामी किसी सार्थक हमले में सक्षम नहीं थी; साथ मिलकर, उन्होंने एक सहज डेटा चोरी का रास्ता बना दिया ।
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
लोग पूछते भी हैं
"SearchLeak: वो एक-क्लिक वाला M365 Copilot बग जिसने Bing के ज़रिए मेलबॉक्स खाली कर दिए" का संक्षिप्त उत्तर क्या है?
SearchLeak एक ऐसी कमजोरियों की चेन थी जहां पीड़ित के एक भरोसेमंद microsoft.com लिंक पर क्लिक करते ही M365 Copilot चुपचाप MFA कोड, ईमेल, कैलेंडर और शेयरपॉइंट फाइलें चुरा सकता था।
सबसे पहले सत्यापित करने योग्य मुख्य बिंदु क्या हैं?
SearchLeak एक ऐसी कमजोरियों की चेन थी जहां पीड़ित के एक भरोसेमंद microsoft.com लिंक पर क्लिक करते ही M365 Copilot चुपचाप MFA कोड, ईमेल, कैलेंडर और शेयरपॉइंट फाइलें चुरा सकता था। हमले ने तीन खामियों को आपस में जोड़ा: Copilot के निर्देशों को हाईजैक करने के लिए पैरामीटर टू प्रॉम्प्ट इंजेक्शन, फिल्टर से पहले डेटा लीक करने वाली HTML रेंडरिंग रेस कंडीशन, और Bing के इमेज एंडपॉइंट के ज़रिए SSRF।
मुझे अभ्यास में आगे क्या करना चाहिए?
यह हमला पिछले एक साल में सामने आए Reprompt और EchoLeak जैसे हमलों की कड़ी है, जो LLM असिस्टेंट्स की उस बुनियादी कमजोरी को दर्शाता है जहां वे यूज़र के कंटेंट पर आँख मूंदकर भरोसा कर लेते हैं।
सूत्र
- mallory.aiCritical SearchLeak Flaw in Microsoft 365 Copilot Enabled ...
- bleepingcomputer.comNew attack turned Microsoft 365 Copilot into 1-click data theft tool
- easternherald.comMicrosoft Copilot SearchLeak: Why Enterprise AI Keeps Getting ...
- thehackernews.comOne-Click Microsoft 365 Copilot Flaw Could Have Let Attackers ...
- thesmallbusinesscybersecurityguy.co.ukSearchLeak M365 Copilot & Cisco SD-WAN Threat Analysis | SBCSG
Loading comments...
Comments
0 comments