Microsoft закрыла SearchLeak в Microsoft 365 Copilot: утечка данных могла начаться с одного клика

Varonis Threat Labs раскрыла SearchLeak — цепочку уязвимостей в Microsoft 365 Copilot Enterprise Search, которая могла позволить вывести данные, доступные Copilot от имени пользователя. Microsoft уже устранила проблему как CVE-2026-42824; для клиентов облачного сервиса отдельные действия не требуются.

Varonis Threat Labs раскрыла SearchLeak — цепочку уязвимостей в Microsoft 365 Copilot Enterprise Search, функции поиска по данным организации в Microsoft 365. Атакующему было достаточно отправить пользователю специально сформированную ссылку на домен Microsoft: параметр q обрабатывался Copilot как инструкция, а не только как поисковый запрос.

По описанию исследователей, цепочка объединяла parameter-to-prompt injection, race condition при HTML-рендеринге ответа и обход политики Content Security Policy через разрешенный endpoint Bing. В proof-of-concept Copilot мог найти данные в почте, календаре, SharePoint или OneDrive в пределах прав жертвы и передать фрагмент информации в URL, который попадал в логи сервера атакующего; среди примеров Varonis называет MFA/2FA-коды, письма и внутренние файлы.

Microsoft оформила исправление как CVE-2026-42824. В официальной записи уязвимость относится к раскрытию информации в Microsoft 365 Copilot; для сервиса указан статус Fixed, а клиентам ничего отдельно устанавливать не нужно.