SearchLeak: Så kunde ett enda klick länka din e-post till angripare

I juni 2026 drog Varonis Threat Labs ridån för en sårbarhet som lät mer som en spionroman än en CVE-rapport. Döpt till SearchLeak kunde attackkedjan i Microsoft 365 Copilot Enterprise Search suga ut en användares mest känsliga data – mejl, engångskoder för multifaktorautentisering, lösenordsåterställningslänkar och indexerade filer – med inget mer än ett enda klick på en legitim microsoft.com-länk . Inget lösenordsformulär, inget andra klick, ingen explicit prompt. Attacken var osynlig för anti-phishing-filter eftersom den levde på Microsofts egen domän .

Tilldelad CVE-2026-42824 med allvarlighetsgraden "kritisk" av Microsoft, åtgärdades sårbarheten på serversidan innan något känt utnyttjande skedde. Kunderna behövde inte lyfta ett finger . Den verkliga historien är dock inte patchen – utan den listiga trestegskedja som gjorde det möjligt, och vad den avslöjar om att säkra AI-förstärkta företagsverktyg.

Varför SearchLeak spelar roll

SearchLeak var inte en enda katastrofal bugg. Det var en kedja av tre mindre svagheter, där var och en utnyttjades i sekvens. Var för sig skulle ingen av dem ha varit en kris. Tillsammans bildade de en tyst pipeline för datastöld med ett klick, som kunde nå allt den inloggade användaren hade åtkomst till via Microsoft Graph: mejl, kalenderinbjudningar, mötesanteckningar, SharePoint-dokument och OneDrive-filer .

Avgörande var att den underströk ett mönster som säkerhetsforskare länge varnat för. I januari 2026 avslöjade samma labb på Varonis Reprompt, en nästan identisk attack med ett klick mot den konsumentinriktade Copilot Personal . Ännu tidigare, i juni 2025, hade Aim Security avslöjat EchoLeak, en nollklicks-sårbarhet som beväpnade en prompt-injektion inbäddad i ett skadligt dokument . Ankomsten av SearchLeak visade att företagsgradens skyddsräcken inte hade eliminerat den underliggande riskklassen – de hade bara höjt ribban för angripare att vara kreativa.

Den tredelade buggkedjan

Varje länk i SearchLeak-kedjan är lärorik i sig, men det är deras kombinerade effekt som gjorde attacken så potent.

Steg 1: Parameter-till-prompt-injektion

Copilot Enterprise Search accepterar en URL-parameter – q – som innehåller användarens sökfråga på naturligt språk. Varonis forskare fann att parametern inte bara accepterade en sökfras; den accepterade godtyckliga promptinstruktioner .

En angripare kunde skapa en URL som, när den laddades av en autentiserad användare, instruerade Copilot att göra något helt annat än vad länken verkade visa. Till exempel kunde en länk be AI:n att söka offrets inkorg efter en engångskod för MFA, bädda in den koden i en bild-URL och bifoga den i svaret. Offret såg en Microsoft-märkt söksida. Copilot lydde tyst den injicerade prompten .

Denna teknik, som Varonis kallar Parameter-to-Prompt (P2P)-injektion, var samma mekanism som låg i hjärtat av den tidigare Reprompt-attacken mot Copilot Personal .

Steg 2: Ett kapplöpningstillstånd som kringgår sanering

När Copilot genererar utdata som inkluderar HTML-uppmärkning (som en <img>-tagg), är en serversidesanerare tänkt att slå in utdatan i kodblock så att webbläsaren behandlar den som harmlös klartext. Problemet? Inslagningen sker först efter att innehållet har genererats färdigt .

Webbläsaren, däremot, börjar rendera svaret medan det fortfarande strömmas in. En angripares injicerade <img>-tagg avfyrar därför sin förfrågan så snart den dyker upp i strömmen – innan saneraren ens har körts. När kodblocket väl dyker upp, har bild-URL:en redan efterfrågats, och datan som kodats in i dess sökväg har redan lämnat offrets webbläsare .

Detta är ett klassiskt kapplöpningstillstånd som gjorts dödligt av kontexten med AI-genererat innehåll. En äldre försvarsmekanism hade inte designats om för en värld där själva AI-utdatan är angriparkontrollerad.

Steg 3: Utflöde via en CSP-tillåten Bing-slutpunkt

Även med de två tidigare stegen på plats fanns ett sista hinder: Content Security Policy (CSP) på Microsofts m365.cloud.microsoft-domän blockerar bilder från godtyckliga externa servrar. Emellertid är *.bing.com tillåten .

Bings "Sök med bild"-slutpunkt låter en URL hämtas på serversidan. I SearchLeak-exploatet lade angriparen till den stulna datan som en del av bildsökvägen (t.ex.

https://www.bing.com/images/search?q=/Din_Sakerhetskod_847291/img.png

Angriparen övervakade helt enkelt loggarna för sin egen bildslutpunkt, som Bings server hade lurats att anropa.

Den bedrägliga enkelheten hos ett enda klick

Hela kedjan kördes automatiskt. Ett offer klickade på en länk. Copilot sökte i deras egen data. Utdatan strömmade till webbläsaren. En <img>-tagg avfyrades. Bings server hämtade angriparens URL. Datan var stulen.

Allt detta hände innan användarens webbläsare hade renderat sidan färdigt.

Attacken var svår att upptäcka eftersom:

• URL:en fanns på en betrodd Microsoft-domän, vilket lurade URL-skannrar och ryktekontroller .
• Ingen autentiseringsdialog eller andrahandsverifiering utlöstes – offrets existerande session användes.
• All utgående trafik gick till tillåten Microsoft-infrastruktur.

Datan som kunde stjälas var inte teoretisk. Forskare lyfte fram engångskoder för MFA och lösenordsåterställningslänkar som förblir giltiga i minuter, tillsammans med kalenderdetaljer och känsliga dokument som indexerats av Copilot .

Allvarlighetsgradens paradox: Kritisk, men vilket poäng?

CVE-2026-42824 utlöste en kort debatt om allvarlighetsgraderingar. Microsoft tilldelade sårbarheten sin högsta interna allvarlighetsetikett – Kritisk – men utfärdade ett CVSS v3.1-grundpoäng på 6.5 (Medium). Anledningen: attacken krävde användarinteraktion (det enda klicket), vilket minskade poängen .

Vissa källor rapporterade ett 7.5 (Hög) poäng från National Vulnerability Database (NVD) . I praktiken noterade emellertid flera granskningar, inklusive TNW:s analys, att både Microsofts CSAF-post och NVD-posten återspeglade en identisk 6.5-vektor . Uppfattningen om ett högre poäng kan ha kommit från oberoende analytiker som beräknat under bredare antaganden om påverkan eller upprepat tidig rapportering.

Oavsett siffran var konsensus tydligt: ett enda klick kunde exponera en organisations mest känsliga data.

Sårbarhetsarvet för Copilot

SearchLeak dök inte upp i ett vakuum. Den anslöt sig till två andra landmärken för AI-exfiltrering:

• EchoLeak (CVE-2025-32711) — juni 2025. En nollklicks-sårbarhet från Aim Security som använde en prompt-injektion inbäddad i ett dokument som Copilot automatiskt bearbetade. Ingen användarinteraktion krävdes alls. CVSS 9.3 .
• Reprompt — januari 2026. Varonis visade att konsumentversionen Copilot Personal kunde kapas med samma P2P-injektionsteknik. Ingen skadlig kod, ingen plugin, bara en skapad URL .

Den röda tråden är prompt-injektion, ett hot som förvandlar AI:ns kärnförmåga – att följa instruktioner – till en attackyta. Varje efterföljande sårbarhet har visat att lappa en yta (Konsument vs. Företag) eller lägga till skyddsräcken (dokumentbehandling vs. sökfrågor) inte eliminerar klassen; det omdirigerar bara angriparens kreativitet .

Vad IT-administratörer bör göra nu

SearchLeak i sig är patchad och kräver ingen kundåtgärd. Men tekniken försvinner inte, och säkerhetsteam bör operationalisera lärdomarna.

Övervaka Copilot Search-URL:er. Parametern q är fortfarande exponerad. Leta efter kodad HTML, skriptliknande laster eller misstänkt långa instruktionssträngar i Copilot Enterprise Search-URL:er som flödar genom era proxyloggar .

Håll utkik efter onormala utgående förfrågningar till Bings bildslutpunkter. En användare som plötsligt genererar flera förfrågningar till *.bing.com med ovanliga bildsökvägar – särskilt mönster som liknar kodad eller stulen data – bör utlösa larm .

Begränsa Copilots indexerade yta. Tillämpa datastyrning enligt principen om minsta privilegium. Begränsa vilka SharePoint-webbplatser, OneDrive-mappar och inkorgar Copilot kan indexera så att en framtida sårbarhet inte innebär stöld av allt användaren kan nå. Granska och minska regelbundet Copilots Microsoft Graph-behörigheter .

Avslöjandet av SearchLeak var inte en berättelse om en enda patch, utan en varning om den framväxande skärningspunkten mellan prompt-injektion och klassiska webbsårbarheter. När organisationer anammar AI-copiloter med djup åtkomst till sin data, måste säkerhetsmodeller som behandlar AI-utdata som betrott innehåll omprövas. Nästa kedja kommer inte att använda samma tre buggar – men den kommer nästan säkert att återanvända samma mönster.