SearchLeak: come un solo clic su un link Microsoft poteva svuotare la tua casella di posta

Perché SearchLeak è importante

SearchLeak non era un singolo bug catastrofico. Era l'unione di tre debolezze distinte, sfruttate con cura in sequenza. Prese singolarmente, nessuna di esse avrebbe rappresentato un'emergenza. Insieme, creavano un silenzioso canale di esfiltrazione con un solo clic, capace di raggiungere qualsiasi cosa l'utente autenticato potesse vedere tramite Microsoft Graph: email, inviti del calendario, note di riunioni, documenti SharePoint e file OneDrive .

Cosa ancora più importante, ha messo in luce uno schema che i ricercatori di sicurezza temevano da tempo. A gennaio 2026, lo stesso laboratorio di Varonis aveva reso noto Reprompt, un attacco quasi identico con un solo clic contro la versione consumer, Copilot Personale . Ancora prima, a giugno 2025, Aim Security aveva svelato EchoLeak, una vulnerabilità zero-click che usava un'iniezione di prompt nascosta in un documento malevolo . L'arrivo di SearchLeak ha dimostrato che i sistemi di protezione di livello enterprise non avevano eliminato questa classe di rischio—avevano solo alzato l'asticella per la creatività degli aggressori.

La catena dei tre bug

Ogni anello della catena di SearchLeak è istruttivo di per sé, ma è il loro effetto combinato ad aver reso l'attacco così potente.

Stadio 1: Iniezione Parameter-to-Prompt

Copilot Enterprise Search accetta un parametro nell'URL—q—che contiene la richiesta in linguaggio naturale dell'utente. I ricercatori di Varonis hanno scoperto che il parametro non si limitava a ricevere una frase di ricerca, ma accettava istruzioni di prompt arbitrarie .

Un aggressore poteva creare un URL che, una volta caricato da un utente autenticato, ordinava a Copilot di fare qualcosa di completamente diverso da quanto il link sembrava indicare. Ad esempio, un link poteva dire all'IA di cercare un codice MFA monouso nella casella di posta della vittima, di incorporarlo in un URL di un'immagine e di accodarlo alla risposta. La vittima vedeva una normale pagina di ricerca a marchio Microsoft. Copilot eseguiva in silenzio il prompt iniettato .

Questa tecnica, che Varonis chiama iniezione Parameter-to-Prompt (P2P), era lo stesso meccanismo alla base del precedente attacco Reprompt contro Copilot Personale .

Stadio 2: Una race condition che aggira la sanitizzazione

Quando Copilot genera un output che include markup HTML (come un tag <img>), un sistema di sanitizzazione lato server dovrebbe racchiudere l'output in blocchi di codice, così che il browser lo tratti come testo semplice e innocuo. Il problema? Questo "impacchettamento" avviene solo dopo che il contenuto è stato completamente generato .

Il browser, tuttavia, inizia a visualizzare la risposta mentre è ancora in fase di streaming. Un tag <img> iniettato dall'aggressore, quindi, attiva la sua richiesta non appena appare nel flusso di dati—prima ancora che il sanitizer possa intervenire. Quando il blocco di codice viene finalmente applicato, l'URL dell'immagine è già stato richiesto e i dati codificati nel suo percorso hanno già lasciato il browser della vittima .

Si tratta di una classica race condition resa letale dal contesto dei contenuti generati dall'IA. Un vecchio meccanismo di difesa non era stato riprogettato per un mondo in cui l'output dell'IA stessa è sotto il controllo di un aggressore.

Stadio 3: Esfiltrazione tramite un endpoint Bing autorizzato dal CSP

Anche con i due stadi precedenti in posizione, restava un ultimo ostacolo: la Content Security Policy (CSP) sul dominio m365.cloud.microsoft blocca le immagini provenienti da server esterni arbitrari. Tuttavia, *.bing.com è nella lista dei domini autorizzati .

L'endpoint "Cerca per Immagine" di Bing permette di recuperare un URL lato server. Nell'exploit di SearchLeak, l'aggressore accodava i dati rubati come parte del percorso di ricerca immagine (ad esempio,

https://www.bing.com/images/search?q=/Il_tuo_Codice_Sicurezza_847291/img.png

L'aggressore doveva semplicemente monitorare i log del proprio endpoint immagine, che il server di Bing era stato indotto a contattare.

L'ingannevole semplicità di un singolo clic

L'intera catena si eseguiva in modo automatico. La vittima cliccava un link. Copilot cercava nei suoi stessi dati. L'output veniva trasmesso in streaming al browser. Un tag <img> si attivava. Il server di Bing recuperava l'URL dell'aggressore. I dati venivano esfiltrati. Tutto questo accadeva prima che il browser dell'utente finisse di caricare la pagina.

L'attacco era difficile da rilevare perché:

• L'URL era su un dominio Microsoft considerato fidato, eludendo così scanner URL e controlli di reputazione .
• Non veniva attivata alcuna finestra di autenticazione o secondo clic—veniva usata la sessione esistente della vittima.
• Tutte le richieste in uscita erano dirette verso infrastrutture Microsoft autorizzate.

I dati che potevano essere rubati non erano teorici. I ricercatori hanno evidenziato codici MFA monouso e link per il reset della password che restano validi per minuti, oltre a dettagli del calendario e documenti sensibili indicizzati da Copilot .

Il rompicapo della severità: Critico, ma con che punteggio?

La CVE-2026-42824 ha scatenato un breve dibattito sui punteggi di gravità. Microsoft ha assegnato alla vulnerabilità la sua etichetta di massima severità—Critico—ma le ha attribuito un punteggio base CVSS v3.1 di 6.5 (Medio). La motivazione: l'attacco richiedeva l'interazione dell'utente (il singolo clic), riducendo così il punteggio .

Alcune fonti hanno riportato un punteggio di 7.5 (Alto) dal National Vulnerability Database (NVD) . In pratica, tuttavia, diverse revisioni, inclusa l'analisi di TNW, hanno notato che sia il record CSAF di Microsoft che la voce NVD riflettevano un identico vettore 6.5 . La percezione di un punteggio più alto potrebbe essere nata da analisi indipendenti che calcolavano il rischio con presupposti di impatto più ampi o dal riverbero delle prime segnalazioni.

Al di là del numero, il consenso era chiaro: un solo clic poteva esporre i dati più sensibili di un'organizzazione.

La genealogia delle vulnerabilità di Copilot

SearchLeak non è apparsa nel vuoto. Si è aggiunta ad altre due scoperte fondamentali sull'esfiltrazione tramite IA:

• EchoLeak (CVE-2025-32711) — Giugno 2025. Una vulnerabilità zero-click scoperta da Aim Security, che usava un'iniezione di prompt incorporata in un documento elaborato automaticamente da Copilot. Nessuna interazione utente richiesta. CVSS 9.3 .
• Reprompt — Gennaio 2026. Varonis ha dimostrato che il Copilot Personale di livello consumer poteva essere dirottato con la stessa tecnica di iniezione P2P. Nessun malware, nessun plugin, solo un URL creato ad arte .

Il filo conduttore è l'iniezione di prompt, una minaccia che trasforma la capacità principale dell'IA—seguire le istruzioni—in una superficie d'attacco. Ogni vulnerabilità successiva ha dimostrato che correggere una superficie (Consumer vs. Enterprise) o aggiungere barriere (elaborazione documenti vs. query di ricerca) non elimina la classe di rischio; reindirizza soltanto la creatività degli aggressori .

Cosa dovrebbero fare ora gli amministratori di sistema

SearchLeak in sé è stata corretta e non richiede alcuna azione da parte dei clienti. Ma la tecnica non scomparirà, e i team di sicurezza dovrebbero mettere in pratica gli insegnamenti.

Monitorare gli URL di Copilot Search. Il parametro q è ancora esposto. Cercate HTML codificato, payload simili a script o stringhe di istruzioni sospettosamente lunghe negli URL di Copilot Enterprise Search che transitano nei log del vostro proxy .

Tenere d'occhio richieste anomale in uscita verso gli endpoint immagine di Bing. Un utente che genera improvvisamente molteplici richieste a *.bing.com con percorsi di ricerca immagine insoliti—specialmente pattern che assomigliano a dati codificati o esfiltrati—dovrebbe far scattare un allarme .

Limitare la superficie indicizzata da Copilot. Applicate il principio del minimo privilegio nella governance dei dati. Restringete i siti SharePoint, le cartelle OneDrive e le caselle di posta che Copilot può indicizzare, in modo che una futura vulnerabilità non equivalga al furto di tutto ciò a cui l'utente può accedere. Verificate e riducete regolarmente i permessi di Microsoft Graph concessi a Copilot .

La divulgazione di SearchLeak non è stata la storia di una singola patch, ma un avvertimento sulla crescente intersezione tra iniezione di prompt e vulnerabilità web classiche. Man mano che le organizzazioni adottano copiloti IA con accesso profondo ai propri dati, i modelli di sicurezza che trattano l'output dell'IA come contenuto fidato devono essere riconsiderati. La prossima catena non userà gli stessi tre bug—ma quasi certamente riutilizzerà lo stesso schema.