Onderzoekers van Varonis Threat Labs ontdekten een kritieke kwetsbaarheid in Copilot Enterprise. SearchLeak combineert AI-specifieke beveiligingsfouten en klassieke beveiligingsfouten om gevoelige data stiekem te stelen via één klik op een schijnbaar onschuldige link.
De kwetsbaarheidketen, aangeduid als CVE-2026-42824, kreeg van Microsoft een kritieke kwetsbaarheid. SearchLeak maakt gebruik van drie zwakke punten: Parameter-to-Prompt Injection (P2P), een HTML-rendering race condition en een server-side request forgery (SSRF) via Bing.
De aanval verloopt in drie fasen. Eerst injecteert een aanvaller malafide parameters in de zoekopdracht van Copilot Enterprise. Die parameters worden direct uitgevoerd als instructies voor de AI, die vervolgens gevoelige gegevens zoals e-mails, kalenderafspraken of SharePoint-bestanden opzoekt.
Drie stappen naar datadiefstal
Tijdens de tweede fase ontstaat een race condition. Copilot begint met het streamen van een antwoord dat een <img>-tag bevat. De browser renderde deze tag en verzendt een verzoek naar een door de aanvaller gecontroleerde URL voordat Copilot de uitvoer in een <code>-blok plaatst om HTML te neutraliseren. Zo is de data al gestolen voor de beveiliging ingrijpt. De derde fase gebruikt Bing als onbewuste tussenpersoon. Omdat Bing op de Content Security Policy-allowlist staat, kan de <cimg>-tag een URL aanroepen die Bing server-side ophaalt. De gestolen data belandt zo in de logs van de aanvaller, terwijl de CSP van Microsoft 365 niet wordt omzeild.
Impact en bescherming
De impact van SearchLeak is groot: aanvallers kunnen toegang krijgen tot alle gegevens waar de gebruiker rechten voor heeft, zonder authenticatie. Dit omvat e-mailonderwerpen, MFA-codes, vergaderdetails en vertrouwelijke bedrijfsdocumenten. Microsoft heeft de kwetsbaarheid al gedicht, maar Varonis adviseert om verdachte Copilot-zoek-URL’s te monitoren, CSP-allowlists te herzien en AI-streaminguitvoer als onbetrouwbaar te behandelen.