SearchLeak: Как один клик по ссылке Microsoft мог опустошить ваш почтовый ящик

Однако главная интрига не в самом патче, а в элегантной трёхступенчатой схеме взлома и в том, какие выводы о безопасности корпоративных нейросетей она заставляет сделать.

Почему SearchLeak — это важно

SearchLeak не был одной катастрофической ошибкой. Это была цепочка из трёх уязвимостей поменьше, где каждая умело достраивала предыдущую. По отдельности они не выглядели фатально. Вместе они образовали бесшумный, срабатывающий после одного клика конвейер для утечки всех данных, к которым у залогиненного пользователя был доступ через Microsoft Graph: письма, приглашения календаря, заметки со встреч, документы SharePoint и файлы OneDrive .

Этот случай подчеркнул опасность, о которой эксперты предупреждали несколько лет подряд. В январе 2026 года та же команда Varonis обнаружила Reprompt — почти идентичную атаку с одним кликом, нацеленную на потребительскую версию Copilot Personal .

А ещё раньше, в июне 2025-го, специалисты Aim Security раскрыли уязвимость EchoLeak — атаку нулевого клика, при которой вредоносный промпт был спрятан в безобидном документе . Появление SearchLeak показало, что внедрение защиты на уровне предприятий не устранило риск как класс, а лишь заставило атакующих проявить больше изобретательности.

Цепочка из трёх багов

Каждое звено этой цепи поучительно само по себе, но настоящая сила атаки — в их комбинации.

Этап 1: Внедрение промпта через URL-параметр

Copilot Enterprise Search принимает поисковый запрос пользователя через параметр q в URL. Исследователи Varonis обнаружили, что этот параметр уязвим для произвольных инструкций, выходящих за рамки простого поискового запроса .

Атакующий мог создать URL, который при открытии авторизованным пользователем давал Copilot скрытую инструкцию. Например, ассистент получал команду найти в почтовом ящике жертвы одноразовый код MFA, вставить этот код в URL изображения и тихо приложить результат к ответу. Жертва видела обычную страницу поиска Microsoft, а Copilot исправно выполнял вредоносный промпт .

Этот метод, который в Varonis называют Parameter-to-Prompt (P2P) injection, был в точности тем же механизмом, что и в основе ранней атаки Reprompt .

Этап 2: Гонка состояний в обход санитайзера

Когда Copilot формирует ответ и в нём встречается HTML-разметка (например, тег <img>), серверный санитайзер должен «обернуть» весь вывод в безопасные кодовые блоки, чтобы браузер воспринимал его как обычный текст. Но есть нюанс: санитайзер делает это только после того, как весь контент будет сгенерирован .

Браузер же начинает отображать страницу ещё в процессе потоковой загрузки ответа. Следовательно, внедрённый тег <img> срабатывает в момент своего появления в потоке — до того, как санитайзер вообще успеет вмешаться. Когда кодовый блок наконец появляется, URL картинки уже ушёл на внешний сервер, а закодированные в нём данные — покинули компьютер жертвы .

Это классическая гонка состояний, которая стала смертельно опасной именно в контексте ИИ-генерируемого контента. Старый защитный механизм просто не был рассчитан на то, что выдача нейросети окажется под контролем атакующего.

Этап 3: Утечка через доверенный эндпоинт Bing

Даже после двух описанных этапов оставался последний барьер: Политика безопасности контента (CSP) на домене m365.cloud.microsoft блокирует загрузку изображений с произвольных сторонних серверов. Однако *.bing.com — в белом списке .

Эндпоинт Bing «Поиск по картинке» умеет загружать изображение по URL на своей стороне. В эксплойте SearchLeak злоумышленник добавлял украденные данные прямо в путь поискового запроса Bing (например,

https://www.bing.com/images/search?q=/Ваш_Код_Безопасности_847291/img.png

Атакующему оставалось лишь мониторить логи на своём подставном сервере картинок.

Опасная простота одного клика

Вся цепочка работала полностью автоматически: жертва кликала по ссылке, Copilot производил поиск, ответ стримился в браузер, тег <img> срабатывал, а сервер Bing выполнял запрос. Это происходило до того, как страница успевала полностью отрисоваться.

Атаку было крайне сложно заметить, потому что:

• URL находился на доверенном домене Microsoft, обходя URL-сканеры и проверки репутации .
• Не требовалось повторной аутентификации или второго клика — использовалась текущая сессия жертвы.
• Все исходящие запросы шли исключительно на разрешённую инфраструктуру Microsoft.

Перечень данных, которые можно было похитить, был отнюдь не теоретическим. Исследователи выделили одноразовые MFA-коды и ссылки для сброса пароля (действительные в течение нескольких минут), детали встреч и чувствительные документы, проиндексированные Copilot .

Загадка критичности: «Критический» — но какой балл?

CVE-2026-42824 спровоцировал небольшую дискуссию по поводу оценки серьёзности. Microsoft поставила максимальный внутренний рейтинг — Critical, но присвоила базовую оценку по CVSS v3.1 всего 6,5 (средний уровень). Логика была в том, что атака требует взаимодействия с пользователем (клика), что и понизило итоговый балл .

Некоторые источники сообщали об оценке 7,5 (высокий уровень) от Национальной базы данных уязвимостей США (NVD) . Однако на практике TNW и другие эксперты установили, что в записи Microsoft CSAF и в карточке NVD фигурирует одинаковый вектор с базовой оценкой 6,5 . Расхождение, вероятно, возникло из-за того, что сторонние аналитики пересчитывали балл с более широкими допущениями об ущербе.

Как бы то ни было, консенсус очевиден: один клик мог скомпрометировать самые чувствительные данные организации.

Родословная уязвимостей Copilot

SearchLeak не возник в вакууме. Он пополнил список знаковых находок, связанных с утечками через ИИ:

• EchoLeak (CVE-2025-32711) — июнь 2025. Уязвимость нулевого клика (CVSS 9.3) от Aim Security. Вредоносный промпт был встроен в документ, который Copilot обрабатывал автоматически .
• Reprompt — январь 2026. Varonis показала, что потребительский Copilot Personal можно взломать той же техникой P2P-инъекции. Никакого вредоносного ПО, просто хитрая ссылка .

Общая нить — инъекция промптов, угроза, которая превращает главное преимущество ИИ (следование инструкциям) в поверхность для атаки. Каждая последующая уязвимость демонстрировала, что латание одной поверхности (потребительская vs. Enterprise-версия) или добавление новых «перил» (обработка документов vs. поисковые запросы) не убивает класс угрозы, а лишь перенаправляет изобретательность хакеров .

Что делать администраторам

Сама уязвимость SearchLeak исправлена и не требует действий от пользователей, но сам метод не исчезнет. Службам безопасности необходимо извлечь уроки.

Мониторьте URL поиска Copilot. Параметр q по-прежнему доступен. Ищите в прокси-логах запросы, содержащие HTML-код, скриптовые полезные нагрузки или подозрительно длинные строки инструкций .

Отслеживайте аномальные исходящие запросы к Bing. Если пользователь внезапно начинает генерировать множественные запросы к *.bing.com с необычными путями поиска изображений — особенно такими, что напоминают закодированные данные, — это повод бить тревогу .

Ограничивайте поверхность индексации Copilot. Используйте принцип минимальных привилегий. Ограничьте доступ Copilot к конкретным сайтам SharePoint, папкам OneDrive и почтовым ящикам, чтобы даже при успешной атаке будущего масштаб бедствия был меньше. Регулярно аудируйте и урезайте разрешения Copilot на работу с Microsoft Graph .

История SearchLeak — это не история одного патча. Это предостережение о том, как пересекаются миры prompt injection и классических веб-уязвимостей. По мере того как организации внедряют ИИ-ассистентов с глубоким доступом к своим данным, модели безопасности, которые по умолчанию доверяют ИИ-выдаче, должны быть пересмотрены. В следующей цепочке не будет тех же трёх багов, но почти наверняка будет тот же самый почерк.