SearchLeak: Вразливість M365 Copilot, яка зливала пошту через Bing за один клік

15 червня 2026 року Varonis Threat Labs розкрили ланцюжок вразливостей, який перетворював Microsoft 365 Copilot Enterprise Search на інструмент крадіжки даних за один клік. Жертві достатньо було натиснути на єдине, на перший погляд легітимне, посилання microsoft.com, і Copilot міг непомітно просканувати її поштову скриньку, витягти коди багатофакторної автентифікації (MFA) та теми листів, і передати ці дані через власну інфраструктуру Bing. Microsoft відстежувала цю вразливість як CVE‑2026‑42824 і випустила виправлення на стороні сервера того ж дня, тож клієнтський патч не знадобився .

Атака, названа SearchLeak, є третьою великою експлуатацією через ін'єкцію команд (prompt injection) проти сімейства продуктів Microsoft Copilot за дванадцять місяців. Це свідчить про системну проблему, яку мають розуміти команди безпеки, а не про поодинокий інцидент.

Трикроковий ланцюжок атаки

Сила SearchLeak полягала в об'єднанні однієї відносно нової, специфічної для ШІ вразливості з двома класичними помилками веб-безпеки. Окремо жодна з них не дозволяла провести значущу атаку, але разом вони створювали безшовний шлях для витоку даних .

Крок 1 — Ін'єкція параметра в команду (Parameter‑to‑Prompt, P2P)

Точкою входу був параметр запиту q в URL-адресах Copilot Enterprise Search. Як і багато ШІ-асистентів, Copilot приймав пошуковий запит природною мовою через рядок URL, але, на відміну від традиційних пошукових систем, він передавав цей вхідний параметр безпосередньо у свій системний запит як виконувану інструкцію. Дослідники Varonis створили значення q, яке наказувало Copilot «прочитати останні листи користувача, витягти будь-які одноразові коди, узагальнити теми та вбудувати результати як пошуковий запит». Оскільки посилання вело на справжній домен microsoft.com, традиційні інструменти антифішингу та фільтри URL навряд чи могли його позначити як небезпечне .

Крок 2 — Стан гонитви при HTML-ін'єкції

Copilot відображав результати пошуку в браузері, і його вихідні дані не проходили ретельну санітарну обробку. Впроваджена зловмисником команда змушувала Copilot генерувати відповідь, що містила HTML-тег <img>, чий атрибут src вказував на URL, підконтрольний атакуючому. Стан гонитви в процесі рендерингу означав, що браузер завантажував зображення — надсилаючи викрадені дані, закодовані в запиті до зображення — перш ніж фільтри безпеки Copilot встигали перевірити та заблокувати вихідні дані. По суті, витік даних відбувався в мить між генерацією відповіді ШІ та її перевіркою захисними механізмами .

Крок 3 — Підробка запитів на стороні сервера (SSRF) через Bing

Фінальний етап витоку використовував підробку запитів на стороні сервера (SSRF) проти власного сервісу пошуку зображень Bing від Microsoft. Джерело тегу img було сформовано так, що браузер робив запит до bing.com, довіреного внутрішнього домену Microsoft. Оскільки запит, здавалося, надходив з інфраструктури Bing, він проходив через корпоративні засоби контролю вихідного трафіку (egress controls) та системи запобігання витоку даних (DLP) непоміченим. Конфіденційні дані були закодовані в параметрах URL цього, на перший погляд, безпечного запиту на завантаження зображення і прямували прямо на сервер зловмисника .

Які дані були під загрозою

Після активації Copilot працював із дозволами автентифікованої жертви. Дослідники продемонстрували, що можуть викрасти :

• Коди MFA та паролі, що містилися в тілі листів
• Повні теми та вміст електронних повідомлень
• Деталі подій календаря
• Зведення файлів та проіндексований вміст з SharePoint та OneDrive

Потенційно міг бути викрадений будь-який тип даних, до якого Copilot Enterprise Search мав доступ через дозволи Microsoft Graph користувача — а в більшості організацій цей доступ є дуже широким.

Масштаб та серйозність

В Національній базі даних вразливостей США (NVD) першопричину описали як «неналежну нейтралізацію спеціальних елементів, що використовуються в команді ('ін'єкція команд') в M365 Copilot» . Оцінки серйозності відрізнялися:

• NVD CVSS 3.1: 6.5 (Середня), з вектором AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
• Tenable CVSS v2: 7.8 (Висока)
• Власна оцінка Microsoft: Критичний рівень серйозності всередині компанії

Практичний ризик був високим, оскільки кожен користувач Microsoft 365 Copilot Enterprise був потенційною ціллю, атака вимагала лише одного кліку на, здавалося б, повністю надійний URL, а традиційні інструменти безпеки електронної пошти та мережі були до неї сліпі. Microsoft підтвердила, що вразливість було усунуто на стороні сервера, і на момент розкриття інформації не повідомлялося про жодні докази її використання зловмисниками .

Зростаюча тенденція: SearchLeak, Reprompt та EchoLeak

SearchLeak — це третя велика вразливість, пов'язана з ін'єкцією команд проти Microsoft Copilot, виявлена приблизно за рік. Ця послідовність вказує на структурну слабкість, а не на ізольовані помилки.

Reprompt (CVE‑2026‑24307) — Січень 2026 року

Та ж команда Varonis Threat Labs розкрила Reprompt, атаку на Copilot Personal (споживчу версію). Вона також використовувала параметр URL q для впровадження інструкцій, але додала техніку «подвійного запиту»: засоби захисту Copilot від витоку даних застосовувалися лише до першої взаємодії, тож повторний запит міг витягти атрибути профілю, зведення файлів та пам'ять розмови. Microsoft виправила Reprompt у «вівторку патчів» за січень 2026 року .

EchoLeak (CVE‑2025‑32711) — Червень 2025 року

Виявлена компанією Aim Security, EchoLeak була експлойтом нульового кліку в M365 Copilot. Один-єдиний лист з прихованими тегами зображень у розмітці міг призвести до витоку даних, коли Copilot його обробляв — клік користувача був не потрібен взагалі. Атака продемонструвала, що навіть пасивна обробка ШІ довіреного контенту може бути використана як зброя .

SearchLeak (CVE‑2026‑42824) — Червень 2026 року

Варіант для корпоративної версії, який поєднував P2P-ін'єкцію з вадами веб-рівня, щоб створити ланцюжок атаки за один клік, який використовував власну інфраструктуру Bing як канал для витоку даних в обхід DLP .

Спільна риса: Усі три атаки використовують одну й ту саму фундаментальну архітектурну ваду. ШІ-асистенти, такі як Copilot, довіряють контенту, наданому користувачем — URL-параметрам, тілам листів, пошуковим запитам — як легітимним інструкціям. Коли вони генерують вихідні дані, цей результат часто викликає автоматичну поведінку на стороні клієнта (у браузерах чи поштових клієнтах), таку як завантаження зображень, рендеринг посилань, автоматичні запити, що створює надійний побічний канал для витоку даних з організації. Microsoft виправляла кожну вразливість окремо, але повторювана тенденція свідчить про те, що комбінація ін'єкції команд та вихідних побічних каналів буде виникати знову, доки архітектура сама не визначить, де асистенти проводять межу між інструкцією та недовіреними даними .