В начале июня инженеры Microsoft сообщали об исправлении критической уязвимости CVE-2026-42824. Теперь специалисты компании Varonis раскрыли детали этой проблемы и описали атаку, получившую название SearchLeak. Как выяснилось, уязвимость позволяла превратить Microsoft 365 Copilot Enterprise в инструмент для скрытой кражи данных.
Эксперты пишут, что проблема затрагивала практически все, к чему имел доступ Copilot Enterprise Search: содержимое электронной почты, документы в SharePoint и OneDrive, данные календарей, приглашения на встречи, заметки и другие корпоративные сведения. При этом жертве не требовалось делать ничего, достаточно было открыть специально подготовленную ссылку.
В рамках демонстрации атаки исследователи показали даже кражу одноразовых кодов двухфакторной аутентификации из писем.
В основе атаки SearchLeak лежала цепочка из трех отдельных проблем, каждая из которых сама по себе не представляла серьезной угрозы. Так, исследователи объединили в цепочку P2P-инжект, состояние гонки при рендеринге HTML и обход Content Security Policy (CSP) через SSRF в Bing.
На первом этапе атаки специалисты эксплуатировали особенность работы Copilot Enterprise Search, который принимает поисковые запросы через параметр q в URL. В отличие от обычного Copilot, генерирующего ответы на основе промптов, Enterprise Search работает как поисковая система по корпоративным данным: письмам, файлам и другим ресурсам Microsoft 365.
В результате атакующий мог встроить в параметр q инструкции для Copilot, вынуждая его найти письма пользователя, извлечь из них нужные данные, а затем встроить полученную информацию в HTML-ответ. Украденные данные подставлялись в URL изображения внутри тега <img>. То есть после перехода по вредоносной ссылке Copilot самостоятельно искал нужные данные и подготавливал их к передаче на внешний сервер.
Второй этап атаки был связан с тем, что во время генерации ответа Copilot сначала выводил сырой HTML и только потом оборачивал результат в блоки <code>. Исследователи обнаружили, что между этими действиями существует небольшой промежуток времени, когда браузер успевал обработать HTML-теги. Этого оказывалось достаточно для обработки тега <img>. Как только браузер видел ссылку на «изображение», он немедленно отправлял запрос по указанному адресу, пытаясь загрузить картинку еще до того, как успевала сработать защита.
Однако оставалась последняя проблема: Copilot не должен обращаться к произвольным внешним сайтам. Для обхода этого ограничения исследователи воспользовались функцией Bing Search by Image. Поскольку обращения к Bing разрешены политикой безопасности Microsoft, запрос сначала уходил на поисковые серверы, а затем Bing сам запрашивал изображение с сервера злоумышленников. В итоге украденные данные оказывались встроены прямо в URL изображения, а сервер атакующих получал этот запрос от Bing и сохранял полученную информацию в логах.
По сути, Bing становился прокси для извлечения данных, а со стороны пользователя все выглядело безобидно: Copilot несколько секунд «размышлял» над запросом, после чего возвращал ответ. Не было никаких предупреждений или заметных признаков утечки данных.
Хотя разработчики Microsoft уже устранили проблему CVE-2026-42824, и пользователям не нужно предпринимать никаких дополнительных действий, исследователи полагают, что атака SearchLeak демонстрирует более серьезную проблему. По их словам, современные ИИ-системы открывают путь для новых способов эксплуатации старых типов багов, вроде SSRF или HTML-инъекций, которые раньше редко приводили к столь опасным последствиям.
Хуже того, большие языковые модели по-прежнему плохо различают команды, поступившие от пользователя, и инструкции, скрытые во внешнем контенте. Из-за этого разработчикам приходится постоянно создавать новые защитные механизмы поверх уже существующих, а атакующие продолжают обнаруживать способы их обхода.
