Вразливість SearchLeak: Як один клік міг призвести до витоку даних через Microsoft 365 Copilot

У червні 2026 року Varonis Threat Labs розкрили вразливість, яка більше нагадувала шпигунський роман, аніж стандартний звіт про CVE. Вразливість, названа SearchLeak, була ланцюжком експлойтів у Microsoft 365 Copilot Enterprise Search, здатним викрасти найчутливіші дані користувача — електронні листи, одноразові коди багатофакторної автентифікації (MFA), посилання для скидання паролів та проіндексовані файли — за допомогою лише одного кліку на легітимне посилання microsoft.com . Жодних форм паролів, жодних повторних кліків, жодних явних підказок. Атака була невидимою для антифішингових фільтрів, оскільки базувалася на власному домені Microsoft .

Вразливості було присвоєно ідентифікатор CVE-2026-42824 з «критичним» рівнем серйозності від Microsoft, і її було виправлено на стороні сервера до того, як стало відомо про будь-яку експлуатацію. Клієнтам не потрібно було вживати жодних дій . Однак справжня історія полягає не в патчі, а в тому хитромудрому триетапному ланцюжку, який уможливив цю атаку, та в тому, що він розкриває про безпеку корпоративних інструментів зі штучним інтелектом.

Чому SearchLeak має значення

SearchLeak не був однією катастрофічною помилкою. Це був ланцюжок з трьох менших вразливостей, кожна з яких ретельно експлуатувалася послідовно. Окремо жодна з них не стала б кризою. Разом вони утворили безшумний канал витоку даних одним кліком, який міг отримати доступ до всього, до чого авторизований користувач мав доступ через Microsoft Graph: електронні листи, запрошення календаря, нотатки з нарад, документи SharePoint та файли OneDrive .

Що важливо, це підкреслило закономірність, про яку попереджали дослідники безпеки. У січні 2026 року та ж лабораторія Varonis розкрила Reprompt, майже ідентичну атаку одним кліком, спрямовану на споживчу версію Copilot Personal . Ще раніше, у червні 2025 року, Aim Security виявили EchoLeak, вразливість, що не потребувала жодного кліку, яка використовувала ін'єкцію підказки (prompt injection) у шкідливому документі . Поява SearchLeak продемонструвала, що корпоративні засоби захисту не усунули основний клас ризику — вони лише підвищили планку для креативності зловмисників.

Ланцюжок із трьох вразливостей

Кожна ланка ланцюжка SearchLeak сама по собі є повчальною, але їхній сукупний ефект зробив атаку настільки потужною.

Етап 1: Ін'єкція «Параметр-у-Підказку»

Copilot Enterprise Search приймає URL-параметр q, який містить природньо-мовний запит користувача. Дослідники Varonis виявили, що цей параметр приймає не лише пошукову фразу; він приймав довільні інструкції для підказки .

Зловмисник міг створити URL, який при завантаженні автентифікованим користувачем давав Copilot інструкцію зробити щось зовсім інше, ніж те, що, здавалося, показувало посилання. Наприклад, посилання могло наказати ШІ знайти в поштовій скриньці жертви одноразовий код MFA, вбудувати цей код в URL зображення та додати його до відповіді. Жертва бачила сторінку пошуку під брендом Microsoft. Copilot мовчки виконував впроваджену підказку .

Ця техніка, яку Varonis називає ін'єкцією «Параметр-у-Підказку» (P2P injection), була тим самим механізмом, що лежав в основі більш ранньої атаки Reprompt на Copilot Personal .

Етап 2: Стан гонки, що оминає очищення

Коли Copilot генерує вихідні дані, що містять HTML-розмітку (наприклад, тег <img>), серверний очищувач (санітайзер) має огорнути вихідні дані в блоки коду, щоб браузер сприймав їх як безпечний звичайний текст. У чому проблема? Це огортання відбувається лише після того, як контент повністю згенеровано .

Браузер, однак, починає відображати відповідь, поки вона ще надходить у потоці. Таким чином, впроваджений зловмисником тег <img> виконує свій запит, як тільки з'являється в потоці — до того, як очищувач взагалі запуститься. До моменту появи блоку коду URL зображення вже було запитано, а дані, закодовані в його шляху, вже покинули браузер жертви .

Це класичний стан гонки, який став смертельним у контексті контенту, згенерованого ШІ. Старіший механізм захисту не був перероблений для світу, де самі вихідні дані ШІ контролюються зловмисником.

Етап 3: Витік даних через кінцеву точку Bing з дозволеного списку CSP

Навіть за наявності перших двох етапів залишалася остання перешкода: Політика Безпеки Вмісту (CSP) на домені m365.cloud.microsoft блокує зображення з довільних зовнішніх серверів. Однак *.bing.com знаходиться у дозволеному списку .

Кінцева точка Bing «Пошук за зображенням» дозволяє отримувати URL на стороні сервера. В експлойті SearchLeak зловмисник додавав викрадені дані як частину шляху пошуку зображення (наприклад,

https://www.bing.com/images/search?q=/Ваш_Код_Безпеки_847291/img.png

Зловмиснику залишалося лише відстежувати логи власної кінцевої точки зображень, на яку змусили звернутися сервер Bing.

Оманлива простота одного кліку

Весь ланцюжок виконувався автоматично. Жертва клацала посилання. Copilot шукав її власні дані. Результат у потоці надходив до браузера. Тег <img> виконувався. Сервер Bing робив запит до URL зловмисника. Дані витікали. Усе це відбувалося до того, як браузер користувача завершував відображення сторінки.

Атаку було важко виявити, оскільки:

• URL був на довіреному домені Microsoft, уникаючи сканерів URL та перевірок репутації .
• Не було діалогу автентифікації чи другого кліку — використовувалася наявна сесія жертви.
• Усі вихідні запити надходили до дозволеної інфраструктури Microsoft.

Дані, які могли бути викрадені, не були теоретичними. Дослідники виділили одноразові коди MFA та посилання для скидання паролів, які залишаються дійсними протягом кількох хвилин, а також деталі календаря та конфіденційні документи, проіндексовані Copilot .

Загадка серйозності: Критичний, але який бал?

CVE-2026-42824 викликав коротку дискусію щодо рейтингів серйозності. Microsoft присвоїла вразливості найвищий внутрішній рівень серйозності — Критичний — але випустила базову оцінку CVSS v3.1 6.5 (Середній). Причина: атака вимагала взаємодії з користувачем (один клік), що знизило бал .

Деякі джерела повідомляли про оцінку 7.5 (Високий) від Національної бази даних вразливостей (NVD) . Однак на практиці численні огляди, включаючи аналіз TNW, зазначали, що як запис Microsoft CSAF, так і запис NVD відображали ідентичний вектор 6.5 . Сприйняття вищого балу могло виникнути від незалежних аналітиків, які розраховували згідно з ширшими припущеннями про вплив, або через повторення раннього репортажу.

Незалежно від числа, консенсус був чітким: один клік міг викрити найчутливіші дані організації.

Родовід вразливостей Copilot

SearchLeak не з'явився у вакуумі. Він приєднався до двох інших знакових відкриттів у сфері витоку даних з ШІ:

• EchoLeak (CVE-2025-32711) — червень 2025 року. Вразливість, що не потребувала жодного кліку від Aim Security, яка використовувала ін'єкцію підказки, вбудовану в документ, який Copilot обробляв автоматично. Взаємодія з користувачем не вимагалася взагалі. CVSS 9.3 .
• Reprompt — січень 2026 року. Varonis показали, що споживчий Copilot Personal можна було перехопити за допомогою тієї ж техніки P2P-ін'єкції. Без шкідливого ПЗ, без плагінів, лише спеціально сформований URL .

Спільною ниткою є ін'єкція підказки — загроза, яка перетворює основну здатність ШІ — слідувати інструкціям — на поверхню для атаки. Кожна наступна вразливість показувала, що виправлення однієї поверхні (Споживча проти Корпоративної) або додавання засобів захисту (обробка документів проти пошукових запитів) не усуває цей клас проблем, а лише перенаправляє креативність зловмисника .

Що робити адміністраторам орендарів уже зараз

Сама SearchLeak виправлена і не потребує жодних дій від клієнтів. Але ця техніка не зникає, і команди безпеки повинні засвоїти уроки.

Відстежуйте URL-адреси пошуку Copilot. Параметр q все ще доступний. Шукайте закодований HTML, корисні навантаження, схожі на скрипти, або підозріло довгі рядки інструкцій в URL-адресах Copilot Enterprise Search, які проходять через ваші проксі-логи .

Спостерігайте за аномальними вихідними запитами до кінцевих точок зображень Bing. Раптова генерація користувачем багатьох запитів до *.bing.com з незвичними шляхами пошуку зображень — особливо патернами, що нагадують закодовані або викрадені дані — має викликати тривогу .

Обмежте поверхню індексації Copilot. Практикуйте управління даними з найменшими привілеями. Обмежте те, які сайти SharePoint, папки OneDrive та поштові скриньки Copilot може індексувати, щоб майбутня вразливість не прирівнювалась до крадіжки всього, до чого користувач має доступ. Регулярно перевіряйте та зменшуйте дозволи Copilot для Microsoft Graph .

Розкриття SearchLeak було не історією про один патч, а попередженням про взаємодію ін'єкцій підказок та класичних веб-вразливостей. Оскільки організації впроваджують ШІ-помічників з глибоким доступом до своїх даних, моделі безпеки, які розглядають вихідні дані ШІ як довірений вміст, мають бути переглянуті. Наступний ланцюжок не використовуватиме ті самі три помилки — але майже напевно використає той самий шаблон.