Varonis Threat Labs раскрыла цепочку SearchLeak в Microsoft 365 Copilot Enterprise Search: один клик по ссылке на доверенный домен Microsoft мог привести к утечке писем, календарных данных, файлов из SharePoint и OneDrive, а также временных MFA-кодов из почтового ящика. Microsoft присвоила проблеме CVE-2026-42824, пометила её как critical и устранила на стороне своего backend. По данным Varonis, речь идёт о proof-of-concept, а не о подтверждённой эксплуатации.
Сценарий сочетает AI-специфичную слабость и старые веб-классы ошибок. Точкой входа был параметр q в URL Copilot Enterprise Search. Он предназначен для естественно-языкового запроса, но Copilot воспринимал содержимое как инструкцию. Злоумышленник мог сформировать ссылку, которая просит Copilot найти данные в почте пользователя, взять, например, тему письма и поместить её в URL изображения.
Вторая часть атаки опиралась на гонку при рендеринге ответа. Защитный механизм Microsoft оборачивал вывод Copilot в code-блоки, чтобы браузер не исполнял HTML. Но потоковый ответ отображался раньше финальной нейтрализации: внедрённый тег img успевал отправить запрос до того, как sanitizer превращал разметку в безопасный текст.
Последний элемент цепочки обходил Content Security Policy. Политика m365.cloud.microsoft запрещала загрузку изображений с произвольных доменов, но разрешала *.bing.com. Endpoint Bing Search by Image принимает URL изображения и сам скачивает его для анализа. Если украденный фрагмент данных закодировать в путь URL, Bing становился прокси для эксфильтрации: браузер обращался к разрешённому домену, а сервер Bing уже шёл к инфраструктуре атакующего.
Copilot Enterprise имеет доступ ко всему, что доступно вошедшему пользователю через Microsoft Graph. Поэтому риск особенно высок для одноразовых кодов, reset-ссылок, календарей, meeting notes и документов, проиндексированных Copilot. Клиенты не должны устанавливать патч вручную, но могут снизить ущерб будущих похожих атак: ограничить объём данных, доступных Copilot, искать подозрительные Copilot Search URL с HTML или закодированными payload в q-параметре и мониторить необычные обращения к Bing image endpoints.
Источник: The Hacker News, 15 июня 2026