Исследователи Varonis описали атаку SearchLeak на Microsoft 365 Copilot Enterprise Search. Сценарий простой: жертва нажимает на специально подготовленную ссылку, открывается легитимный сервис Microsoft, а Copilot начинает искать корпоративные данные и передавать найденное наружу.
Под угрозой могли оказаться письма, коды доступа из почты, детали встреч, документы из OneDrive и SharePoint, а также другой контент, доступный через корпоративный поиск Copilot. Атакующий не подбирает пароль и не запускает вредоносный файл, а заставляет ИИ-помощника использовать права самой жертвы.
Microsoft уже закрыла уязвимость. Проблема получила номер CVE-2026-42824. В публичной базе NVD уязвимость описана как раскрытие информации в M365 Copilot из-за неправильной обработки специальных элементов в команде.
Оценки серьезности различаются. У Microsoft в карточке CVE указана 6.5 Medium, у NVD — 7.5 High. Разница связана с учетом пользовательского действия: Microsoft считает, что нужен клик пользователя, NVD в своей оценке трактует условия эксплуатации строже.
Для клиентов дополнительных действий по исправлению не требуется, если сервис обновлен со стороны Microsoft. Но это пример как корпоративные ИИ-помощники становятся новым слоем атаки, где старые баги внезапно дают новый эффект.
SearchLeak — это цепочка из трех слабых мест. По отдельности они не выглядели как полноценная катастрофа. Но вместе позволяли превратить Microsoft 365 Copilot Enterprise Search в инструмент вывода данных.
Enterprise Search в Microsoft 365 Copilot — это корпоративный поиск. Он не просто отвечает на общие вопросы, но и ищет по данным компании: Outlook, календарям, OneDrive, SharePoint и другим источникам Microsoft 365, доступным конкретному пользователю.
Copilot видит то, что разрешено пользователю. Но во многих организациях у сотрудников слишком широкие права: старые ссылки, общие папки, забытые SharePoint-сайты, документы «для всех». Для ИИ это готовый индекс чувствительной информации.
Атака начиналась с ссылки. В ней был параметр q — поле, через которое в поисковую строку передается запрос. Обычно такая механика удобна: ссылка сразу открывает поиск с нужным текстом. Исследователи показали, что туда можно вложить не обычный запрос, а инструкцию для Copilot.
Первый этап атаки — внедрение команды через URL. Атакующий создавал ссылку на Microsoft 365 Copilot Search и помещал в параметр q инструкцию вроде: найди в почте определённые данные, сформируй ответ и вставь результат в адрес картинки.
Для пользователя ссылка выглядела как переход на легитимный домен Microsoft. Никакого файла, макроса или расширения. Достаточно клика.
Второй этап — ошибка при отрисовке HTML. Copilot выдает ответ постепенно, по мере генерации. В момент потоковой выдачи браузер мог кратко обработать сырой HTML до того, как он попадал в безопасный блок кода. Этого хватало, чтобы тег изображения успел сработать.
Третий этап — обход политики безопасности через Bing. У Copilot есть ограничения, которые должны мешать отправке данных на произвольные внешние адреса. Но цепочка использовала механизм поиска по изображению Bing. Bing делал запрос к внешнему адресу, а внутри этого адреса уже лежали украденные данные.
В результате, данные попадали в журналы сервера атакующего как часть URL. Жертва видела только, что Copilot немного «думает». Видимого окна с предупреждением или скачивания файла не было.
Главная проблема — атака использовала доверенную среду. Пользователь нажимал ссылку на Microsoft, Copilot работал в своей обычной сессии, данные подтягивались из Microsoft 365 в рамках прав пользователя.
Исправление закрывает конкретную цепочку SearchLeak. Но оно не решает базовую проблему: Copilot видит всё, что видит пользователь. Если в компании хаос с правами, ИИ быстро превращается в удобный поисковик по этому хаосу.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
