SearchLeak: Hvordan ett enkelt klikk kunne eksfiltrere all din sensitive bedriftsdata

I juni 2026 trakk Varonis Threat Labs teppet av en sårbarhet som leste seg mer som en spionroman enn en tørr sikkerhetsrapport. Med det treffende navnet «SearchLeak» kunne denne angrepskjeden i Microsoft 365 Copilot Enterprise Search stjele en brukers mest sensitive data – e-poster, engangs MFA-koder, lenker for tilbakestilling av passord og indekserte filer – med ikke noe mer enn et enkelt klikk på en legitim microsoft.com-lenke .

Angrepet var usynlig for anti-phishing-filtre fordi det utspilte seg på Microsofts eget domene . Du trengte ikke å skrive inn et passord, det var ikke noe ekstra klikk, ingen prompt. Alt skjedde stille i bakgrunnen.

Microsoft tildelte sårbarheten CVE-2026-42824, med intern kritisk alvorlighetsgrad, og tettet hullet på serversiden før noen kjente angrep fant sted. Bedriftskunder trengte derfor ikke løfte en finger . Men den virkelige historien er ikke fiksen – det er den smarte tre-trinns kjeden som gjorde angrepet mulig, og hva den avslører om sikkerheten til KI-verktøy som har dyp tilgang til bedrifters mest verdifulle data.

Derfor er SearchLeak viktig

SearchLeak var ikke én enkelt, katastrofal feil. Det var en kjede av tre tilsynelatende mindre svakheter som ble utnyttet i rekkefølge. Alene var ingen av dem en krise. Sammen dannet de en lydløs eksfiltreringsrørledning som kunne nå alt den innloggede brukeren hadde tilgang til via Microsoft Graph: e-poster, kalendervarsler, møtenotater, SharePoint-dokumenter og OneDrive-filer .

Sårbarheten understreket et mønster sikkerhetsforskere hadde advart om en stund. I januar 2026 avslørte det samme Varonis-laben Reprompt, et nærmest identisk ett-klikks-angrep mot den forbruker-rettede utgaven Copilot Personal . Enda tidligere, i juni 2025, hadde Aim Security avslørt EchoLeak, et null-klikks-angrep som våpenliggjorde en prompt-injeksjon gjemt i et ondsinnet dokument . Ankomsten av SearchLeak beviste at sikkerhetsbarrierene på bedriftsnivå ikke hadde eliminert den underliggende risikoklassen – de hadde bare hevet lista for angripernes kreativitet.

Hvordan tre små feil ble til én stor katastrofe

Hvert ledd i SearchLeak-kjeden er lærerikt i seg selv, men den kombinerte effekten er det som gjorde angrepet så potent.

Trinn 1: Når URL-en blir en ordre – Parameter-til-prompt-injeksjon

Copilot Enterprise Search bruker en URL-parameter – q – for å motta brukerens søk på naturlig språk. Varonis-forskerne fant at denne parameteren ikke bare godtok et søkeord; den godtok vilkårlige prompt-instruksjoner .

En angriper kunne lage en URL som, når den ble åpnet av en autentisert bruker, beordret Copilot til å gjøre noe helt annet enn det lenken så ut til å vise. For eksempel kunne en lenke be KI-en om å søke i offerets innboks etter en engangs MFA-kode, bygge koden inn i en bilde-URL, og legge den til i responsen. Offeret så en helt normal Microsoft-stilet søkeside. Copilot utførte den injiserte ordren i stillhet .

Denne teknikken, kalt Parameter-to-Prompt (P2P)-injeksjon av Varonis, var den samme som ble brukt i Reprompt-angrepet mot Copilot Personal .

Trinn 2: Et kappløp mot saneringsmekanismen

Når Copilot produserer et svar som inneholder HTML-kode (som en <img>-tagg), skal en server-side-sanering pakke inn dette i kodeblokker slik at nettleseren behandler det som harmløs tekst. Problemet? Denne innpakkingen skjer først etter at innholdet er ferdig generert .

Nettleseren begynner imidlertid å rendre svaret mens det fortsatt strømmes inn. En angripers injiserte <img>-tagg vil derfor fyre av sin forespørsel i samme øyeblikk som den dukker opp i strømmen – lenge før sanereren i det hele tatt har kjørt. Innen kodeblokken dukker opp, har bilde-URL-en allerede blitt forespurt, og dataene kodet i URL-en har allerede forlatt offerets nettleser .

Dette er et klassisk «race condition» (konkurransetilstand) gjort dødelig av konteksten KI-generert innhold gir. Et gammelt forsvarsverk var rett og slett ikke redesignet for en verden der KI-ens egen output er angriperstyrt.

Trinn 3: Eksfiltrering via et godkjent Bing-endepunkt

Selv med de to første trinnene på plass, fantes det en siste hindring: Content Security Policy (CSP) på Microsofts m365.cloud.microsoft-domene blokkerer bilder fra tilfeldige eksterne servere. Men *.bing.com er på godkjent-listen .

Bings «Søk etter bilde»-funksjonalitet lar deg hente en URL på server-siden. I SearchLeak-angrepet la angriperen de stjålne dataene inn som en del av bildesøk-stien (f.eks.

https://www.bing.com/images/search?q=/Din_Sikkerhetskode_847291/img.png

Angriperen trengte bare å overvåke loggene på sitt eget bilde-endepunkt, som Bings servere var blitt lurt til å kontakte.

Det lure med ett eneste klikk

Hele kjeden ble utført automatisk. Et offer klikket på en lenke. Copilot søkte i sine egne data. Svaret strømmet til nettleseren. En <img>-tagg ble avfyrt. Bings server hentet angriperens felle-URL. Dataene var på avveie. Alt dette skjedde før offerets nettleser var ferdig med å rendre siden.

Angrepet var vanskelig å oppdage fordi:

• URL-en var på et pålitelig Microsoft-domene, noe som lurte både URL-skannere og omdømmesjekker .
• Ingen autentiseringsdialog eller andre klikk ble utløst – offerets eksisterende økt ble bare (mis)brukt.
• All nettverkstrafikk gikk til godkjent Microsoft-infrastruktur.

Dataene som kunne stjeles var ikke hypotetiske. Forskerne trakk frem engangs-MFA-koder og passord-reset-lenker som er gyldige i flere minutter, i tillegg til kalenderdetaljer og sensitive dokumenter Copilot hadde indeksert .

Et lite poengdrama: Kritisk, men hvilken score?

CVE-2026-42824 utløste en kort debatt om alvorlighetsgrad. Microsoft ga sårbarheten sin høyeste interne merkelapp – Kritisk – men utstedte en CVSS v3.1-score på bare 6,5 (Medium). Begrunnelsen var at angrepet krevde brukerinteraksjon (det ene klikket), noe som reduserte poengsummen .

Enkelte kilder rapporterte en score på 7,5 (Høy) fra den amerikanske National Vulnerability Database (NVD) . I praksis viste imidlertid flere gjennomganger, inkludert analysen til The Next Web, at både Microsofts CSAF-dokument og NVDs oppføring reflekterte en identisk CVSS-vektor med en score på 6,5 . Oppfatningen av en høyere score kan ha kommet fra uavhengige analytikere som regnet med bredere antagelser om skadeomfang, eller fra tidlig rapportering. Uavhengig av poengsummen var konsensus krystallklar: Ett eneste klikk kunne blottlegge en hel organisasjons mest sensitive data.

Arven fra tidligere KI-angrep

SearchLeak dukket ikke opp i et vakuum. Den sluttet seg til to andre banebrytende oppdagelser innen KI-eksfiltrering:

• EchoLeak (CVE-2025-32711) – juni 2025. En null-klikks-sårbarhet fra Aim Security som brukte en prompt-injeksjon plantet i et dokument Copilot prosesserte automatisk. Absolutt ingen brukerinteraksjon nødvendig. CVSS 9.3 .
• Reprompt – januar 2026. Varonis viste at den forbrukerversjonen av Copilot kunne kapres med samme P2P-injeksjonsteknikk. Ingen skadevare, ingen plugins, bare en skreddersydd URL .

Den røde tråden er prompt-injeksjon, en trussel som gjør KI-ens kjernefunksjonalitet – å følge instruksjoner – om til en angrepsflate. Hver påfølgende sårbarhet har vist at å tette én flate (forbruker vs. bedrift) eller legge til nye barrierer (dokumentprosessering vs. søk) ikke eliminerer risikoklassen; det bare omdirigerer angripernes kreativitet .

Hva norske IT-ansvarlige bør gjøre nå

SearchLeak i seg selv er tettet og krever ingen handling fra deg som kunde. Men teknikken er kommet for å bli, og sikkerhetsteam bør operasjonalisere lærdommen.

Overvåk Copilot-søk og URL-er. Parameteren q er fortsatt eksponert. Se etter kodet HTML, skript-lignende mønstre eller mistenkelig lange instruksjoner i URL-er til Copilot Enterprise Search som går gjennom bedriftens proxy-logger .

Hold øye med unormale utgående forespørsler til Bings bilde-endepunkt. En bruker som plutselig genererer mange forespørsler til *.bing.com med uvanlige bildesøk-stier – spesielt mønstre som ligner kodede eller stjålne data – bør få alarmen til å gå .

Begrens Copilots tilgangsflate – praktiser «minste privilegium»-prinsippet for data. Styr hvilke SharePoint-områder, OneDrive-mapper og postbokser Copilot kan indeksere, slik at et fremtidig sikkerhetsbrudd ikke automatisk betyr tyveri av alt en bruker kan nå. Gjennomgå og reduser Copilots Microsoft Graph-tillatelser jevnlig .

Avsløringen av SearchLeak er ikke bare historien om en enkelt sikkerhetsoppdatering. Det er et varsku om det utviklende samspillet mellom prompt-injeksjon og klassiske webfeil. Etter hvert som organisasjoner tar i bruk KI-assistenter med dyp tilgang til sine data, må sikkerhetsmodeller som behandler KI-generert innhold som «trygt», revurderes grunnleggende. Det neste angrepet vil ikke bruke de samme tre feilene – men det vil nesten helt sikkert gjenskape det samme mønsteret.