SearchLeak: Jak jedno kliknięcie w link Microsoftu mogło opróżnić Twoją skrzynkę mailową
SearchLeak (CVE 2026 42824) to łańcuch ataku typu one click, umożliwiający cichą eksfiltrację danych z firmowych skrzynek mailowych, SharePoint i OneDrive. Atak wykorzystywał lukę w parametrze ‘q’ wyszukiwarki Copilot do wstrzyknięcia złośliwego promptu (P2P injection), wyścig o dostęp (race condition) przy renderow...
What was the SearchLeak vulnerability in Microsoft 365 Copilot Enterprise Search, including the three-bug chain (parameter-to-prompt injectiAn AI-generated editorial illustration depicting the three-stage SearchLeak exploit chain.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: What was the SearchLeak vulnerability in Microsoft 365 Copilot Enterprise Search, including the three-bug chain (parameter-to-prompt injecti. Article summary: Here is a complete breakdown of the SearchLeak vulnerability based on disclosures from Varonis Threat Labs and reporting from June 15, 2026.. Topic tags: general, government, academic, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# Microsoft says a Microsoft 365 bug causes Copilot to summarize confidential emails since late January 2026, bypassing data loss prevention policies that organizations rely on to" source context "Microsoft says a Microsoft 365 bug causes Copilot to summarize confidential emails since late January 2026, bypassing da" Reference image 2: visual subject "r/microsoft - Micr
openai.com
W czerwcu 2026 roku laboratorium Varonis Threat Labs ujawniło kulisy podatności, która bardziej przypominała powieść szpiegowską niż standardowy raport CVE. Nazwany SearchLeak, łańcuch ataku w wyszukiwarce korporacyjnej Microsoft 365 Copilot mógł wykraść najbardziej wrażliwe dane użytkownika — e-maile, jednorazowe kody MFA, linki do resetowania haseł i zaindeksowane pliki — za pomocą zaledwie jednego kliknięcia w legalny link z domeny microsoft.com. Bez formularza hasła, bez drugiego kliknięcia, bez jawnego monitu. Atak był niewidoczny dla filtrów antyphishingowych, ponieważ działał na własnej domenie Microsoftu .
Oznaczona identyfikatorem CVE-2026-42824 i sklasyfikowana przez Microsoft jako "krytyczna", podatność została załatana po stronie serwera, zanim ktokolwiek zdążył ją wykorzystać. Klienci nie musieli kiwnąć palcem . Prawdziwa historia nie dotyczy jednak samej łatki, lecz sprytnego, trzyetapowego łańcucha, który to umożliwił, oraz tego, co mówi on o zabezpieczaniu firmowych narzędzi nasyconych sztuczną inteligencją.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
What is the short answer to "SearchLeak: Jak jedno kliknięcie w link Microsoftu mogło opróżnić Twoją skrzynkę mailową"?
SearchLeak (CVE 2026 42824) to łańcuch ataku typu one click, umożliwiający cichą eksfiltrację danych z firmowych skrzynek mailowych, SharePoint i OneDrive.
What are the key points to validate first?
SearchLeak (CVE 2026 42824) to łańcuch ataku typu one click, umożliwiający cichą eksfiltrację danych z firmowych skrzynek mailowych, SharePoint i OneDrive. Atak wykorzystywał lukę w parametrze ‘q’ wyszukiwarki Copilot do wstrzyknięcia złośliwego promptu (P2P injection), wyścig o dostęp (race condition) przy renderowaniu HTML oraz lukę w polityce CSP, by przesłać dane prz...
What should I do next in practice?
Podatność ujawniona w czerwcu 2026 roku przez Varonis Threat Labs wpisuje się w rosnącą falę ataków na asystentów AI – od EchoLeak (zero click) w 2025, przez Reprompt (Copilot Personal) w styczniu 2026.
SearchLeak nie był pojedynczym, katastrofalnym błędem. Był to łańcuch trzech mniejszych słabości, z których każdą skrupulatnie wykorzystano w odpowiedniej sekwencji. Żadna z nich sama w sobie nie stanowiłaby kryzysu. Razem stworzyły jednak cichy, wymagający jednego kliknięcia rurociąg eksfiltracji, zdolny sięgnąć po wszystko, do czego zalogowany użytkownik miał dostęp przez Microsoft Graph: e-maile, zaproszenia kalendarza, notatki ze spotkań, dokumenty SharePoint i pliki OneDrive .
Co kluczowe, podkreśliło to schemat, przed którym badacze bezpieczeństwa ostrzegali od dawna. W styczniu 2026 roku to samo laboratorium Varonis ujawniło Reprompt, niemal identyczny atak jednym kliknięciem na konsumencką wersję Copilot Personal. Jeszcze wcześniej, w czerwcu 2025 roku, Aim Security odkryło EchoLeak, podatność typu zero-click, która wykorzystywała wstrzyknięcie promptu ukryte w złośliwym dokumencie . Pojawienie się SearchLeak pokazało, że korporacyjne zabezpieczenia nie wyeliminowały tej klasy ryzyka — jedynie podniosły poprzeczkę dla kreatywności atakujących.
Łańcuch trzech błędów
Każde ogniwo łańcucha SearchLeak jest samo w sobie pouczające, ale to ich połączony efekt uczynił atak tak potężnym.
Etap 1: Wstrzyknięcie Parametru do Promptu (P2P)
Wyszukiwarka Copilot Enterprise przyjmuje parametr URL — q — który zawiera zapytanie użytkownika w języku naturalnym. Badacze Varonis odkryli, że parametr ten nie tylko akceptował frazę wyszukiwania; przyjmował dowolne instrukcje promptu .
Atakujący mógł spreparować URL, który po załadowaniu przez uwierzytelnionego użytkownika, instruował Copilota, by zrobił coś zupełnie innego, niż sugerował link. Na przykład link mógł nakazać AI przeszukanie skrzynki ofiary w poszukiwaniu jednorazowego kodu MFA, osadzenie tego kodu w adresie URL obrazka i dołączenie go do odpowiedzi. Ofiara widziała stronę wyszukiwania z logo Microsoftu. Copilot po cichu wykonywał wstrzyknięty prompt .
Ta technika, nazwana przez Varonis wstrzyknięciem Parametru do Promptu (P2P), była tym samym mechanizmem, który leżał u podstaw wcześniejszego ataku Reprompt na Copilot Personal .
Etap 2: Wyścig o dostęp omijający sanityzację
Gdy Copilot generuje dane wyjściowe zawierające znaczniki HTML (jak tag <img>), serwerowy mechanizm sanityzujący powinien opakować je w bloki kodu, by przeglądarka potraktowała je jako nieszkodliwy tekst. W czym problem? Opakowanie następuje dopiero po pełnym wygenerowaniu treści .
Przeglądarka zaczyna jednak renderować odpowiedź, gdy ta jest jeszcze strumieniowana. Wstrzyknięty przez atakującego tag <img> uruchamia więc swoje żądanie, gdy tylko pojawi się w strumieniu — zanim mechanizm sanityzujący zdąży zadziałać. Zanim blok kodu się pojawi, URL obrazka został już zażądany, a dane zakodowane w jego ścieżce opuściły już przeglądarkę ofiary .
Jest to klasyczny wyścig o dostęp (ang. race condition), który stał się zabójczy w kontekście treści generowanych przez AI. Stary mechanizm obronny nie został przeprojektowany z myślą o świecie, w którym samo wyjście AI jest kontrolowane przez atakującego.
Etap 3: Eksfiltracja przez dozwolony punkt końcowy Bing w ramach CSP
Nawet po pokonaniu dwóch pierwszych etapów, pozostawała ostatnia blokada: Polityka Bezpieczeństwa Treści (CSP) na domenie m365.cloud.microsoft blokuje obrazy z dowolnych zewnętrznych serwerów. Jednakże *.bing.com znajduje się na białej liście .
Punkt końcowy Binga „Search by Image” pozwala na pobranie URL-a po stronie serwera. W exploicie SearchLeak atakujący dołączał skradzione dane jako część ścieżki wyszukiwania obrazem (np.
). CSP przeglądarki nie protestowało, ponieważ żądanie szło do bing.com. A ponieważ Bing pobierał obraz po stronie serwera, dane były logowane bez przechodzenia przez przeglądarkę ofiary .
Atakujący po prostu monitorował logi swojego własnego punktu końcowego obrazu, który serwer Binga został oszukany, by wywołać.
Zwodnicza prostota jednego kliknięcia
Cały łańcuch wykonywał się automatycznie. Ofiara klikała link. Copilot przeszukiwał jej dane. Wynik był strumieniowany do przeglądarki. Tag <img> był uruchamiany. Serwer Binga pobierał URL atakującego. Dane zostały wykradzione. Wszystko to działo się, zanim przeglądarka użytkownika skończyła renderować stronę.
Atak był trudny do wykrycia, ponieważ:
URL znajdował się na zaufanej domenie Microsoftu, omijając skanery URL i kontrole reputacji .
Nie było okna dialogowego uwierzytelniania ani drugiego kliknięcia — wykorzystywana była istniejąca sesja ofiary.
Wszystkie żądania wychodzące kierowane były do dozwolonej infrastruktury Microsoftu.
Dane, które można było wykraść, nie były teoretyczne. Badacze podkreślali kwestię jednorazowych kodów MFA i linków do resetowania haseł, które pozostają ważne przez kilka minut, a także szczegółów kalendarza i wrażliwych dokumentów indeksowanych przez Copilota .
Zagadka krytyczności: Krytyczna, ale z jaką punktacją?
CVE-2026-42824 wywołała krótką debatę na temat oceny dotkliwości. Microsoft przypisał podatności najwyższą wewnętrzną etykietę — Krytyczna — ale nadał jej bazową punktację CVSS v3.1 na poziomie 6,5 (Średnia). Powód: atak wymagał interakcji użytkownika (jedno kliknięcie), co obniżyło wynik .
Niektóre źródła podawały wynik 7,5 (Wysoki) z National Vulnerability Database (NVD) . W praktyce jednak wiele analiz, w tym TNW, zauważało, że zarówno rekord Microsoft CSAF, jak i wpis NVD odzwierciedlały identyczny wektor z wynikiem 6,5 . Wrażenie wyższej punktacji mogło wynikać z niezależnych analiz, kalkulujących przy szerszych założeniach dotyczących wpływu, lub z powielania wczesnych doniesień.
Niezależnie od liczby, konsensus był jasny: jedno kliknięcie mogło ujawnić najbardziej wrażliwe dane organizacji.
Rodowód podatności Copilota
SearchLeak nie pojawił się w próżni. Dołączył do dwóch innych przełomowych odkryć eksfiltracji AI:
EchoLeak (CVE-2025-32711) — czerwiec 2025. Podatność zero-click od Aim Security, która wykorzystywała wstrzyknięcie promptu osadzone w dokumencie automatycznie przetwarzanym przez Copilota. Nie wymagała żadnej interakcji użytkownika. CVSS 9.3 .
Reprompt — styczeń 2026. Varonis pokazał, że konsumencki Copilot Personal może zostać przejęty tą samą techniką wstrzyknięcia P2P. Żadnego malware, żadnej wtyczki, tylko spreparowany URL .
Wspólnym mianownikiem jest wstrzykiwanie promptów (ang. prompt injection), zagrożenie, które zamienia kluczową zdolność AI — podążanie za instrukcjami — w powierzchnię ataku. Każda kolejna podatność pokazała, że łatanie jednej powierzchni (konsumencka vs. korporacyjna) czy dodawanie zabezpieczeń (przetwarzanie dokumentów vs. zapytania wyszukiwania) nie eliminuje całej klasy ryzyka; jedynie przekierowuje kreatywność atakujących .
Co powinni teraz zrobić administratorzy
Sama luka SearchLeak została załatana i nie wymaga działań ze strony klientów. Jednak technika ataku nie znika, a zespoły bezpieczeństwa powinny wdrożyć płynące z niej lekcje.
Monitoruj URLe wyszukiwania Copilot. Parametr q jest nadal dostępny. Szukaj zakodowanego HTML-a, ładunków przypominających skrypty lub podejrzanie długich ciągów instrukcji w URL-ach wyszukiwania Copilot Enterprise przepływających przez logi proxy .
Obserwuj anomalne żądania wychodzące do punktów końcowych obrazów Bing. Użytkownik nagle generujący wiele żądań do *.bing.com z nietypowymi ścieżkami wyszukiwania obrazem — zwłaszcza wzorcami przypominającymi zakodowane lub wykradzione dane — powinien wzbudzić alarm .
Ogranicz indeksowaną powierzchnię Copilota. Stosuj zasadę najmniejszych uprawnień w zarządzaniu danymi. Ogranicz, które witryny SharePoint, foldery OneDrive i skrzynki pocztowe Copilot może indeksować, aby przyszła podatność nie oznaczała kradzieży wszystkiego, do czego użytkownik ma dostęp. Regularnie kontroluj i ograniczaj uprawnienia Copilota do Microsoft Graph .
Ujawnienie SearchLeak nie było historią o pojedynczej łatce, ale ostrzeżeniem o ewoluującym skrzyżowaniu wstrzykiwania promptów i klasycznych luk w zabezpieczeniach sieciowych. W miarę jak organizacje wdrażają asystentów AI z głębokim dostępem do swoich danych, modele bezpieczeństwa traktujące wyniki AI jako zaufaną treść muszą zostać ponownie przemyślane. Następny łańcuch ataku nie wykorzysta tych samych trzech błędów — ale prawie na pewno wykorzysta ten sam schemat.
Comments
0 comments