Các nhà nghiên cứu bảo mật tại Varonis Threat Labs đã tiết lộ chuỗi lỗ hổng trong Microsoft 365 Copilot Enterprise Search điều đó có thể cho phép kẻ tấn công đánh cắp email, mục lịch và tệp được lập chỉ mục chỉ bằng một cú nhấp chuột. Cuộc tấn công mà Varonis gọi là SearchLeak, hoạt động thông qua một URL được tạo thủ công trên một miền microsoft.com hợp pháp, nghĩa là các công cụ lọc URL và chống lừa đảo truyền thống khó có thể gắn cờ nó. Microsoft đã chỉ định CVE-2026-42824 vào ngày 4 tháng 6 và đánh giá nó ở mức nghiêm trọng theo hệ thống mức độ nghiêm trọng của chính họ, mặc dù điểm cơ bản CVSS v3.1 đạt 6,5, xếp hạng trung bình.
Nạn nhân không bao giờ gõ lời nhắc, nhập mật khẩu hoặc nhấp vào lần thứ hai. Nhà nghiên cứu Dolev Taler của Varonis, người được coi là cố vấn của Microsoft, đã chứng minh cuộc tấn công như một bằng chứng về khái niệm. Microsoft đã giảm nhẹ lỗ hổng trên chương trình phụ trợ của mình và vì Copilot Enterprise là một dịch vụ được quản lý nên khách hàng không cần thực hiện hành động nào.
SearchLeak xâu chuỗi ba điểm yếu riêng biệt, mỗi điểm yếu đều chưa đủ nhưng lại có tính tàn phá theo trình tự. Điểm nhập là tham số q trong URL Tìm kiếm doanh nghiệp Copilot, dành cho truy vấn ngôn ngữ tự nhiên. Varonis gọi cách chèn tham số vào dấu nhắc này: kẻ tấn công viết một URL yêu cầu Copilot tìm kiếm hộp thư của nạn nhân, trích xuất một đoạn dữ liệu như dòng chủ đề email và nhúng nó vào URL hình ảnh.
💜 của công nghệ EU
Những tin đồn mới nhất từ bối cảnh công nghệ EU, câu chuyện từ người sáng lập thông thái Boris của chúng tôi và một số tác phẩm nghệ thuật AI đáng nghi vấn. Nó miễn phí hàng tuần trong hộp thư đến của bạn. Đăng ký ngay bây giờ!
Nạn nhân nhấp chuột và Copilot thực hiện các hướng dẫn mà không cần bất kỳ đầu vào bổ sung nào.
Liên kết thứ hai trong chuỗi là điều kiện chạy đua trong cách hiển thị phản hồi của Copilot. Lan can bảo vệ của Microsoft bao bọc đầu ra trong các khối mã để trình duyệt xử lý đánh dấu dưới dạng văn bản, nhưng việc bao bọc xảy ra sau khi Copilot hoàn tất việc tạo. Trình duyệt hiển thị luồng khi nó đến, do đó thẻ hình ảnh được chèn sẽ kích hoạt yêu cầu của nó trước khi trình khử trùng chạy.
Vào thời điểm đầu ra được vô hiệu hóa, yêu cầu gửi đi đã rời đi.
Thành phần thứ ba là giả mạo yêu cầu phía máy chủ thông qua Bing. Chính sách bảo mật nội dung trên m365.cloud.microsoft chặn hình ảnh từ các miền tùy ý nhưng nằm trong danh sách cho phép *.bing.com. “ của BingTìm kiếm bằng hình ảnh” điểm cuối chấp nhận URL hình ảnh và tìm nạp nó từ phía máy chủ để phân tích.
Điểm tìm nạp tại máy chủ của kẻ tấn công có dữ liệu bị đánh cắp được mã hóa trong đường dẫn URL và Bing sẽ thay mặt kẻ tấn công truy xuất dữ liệu đó. CSP của trình duyệt không bao giờ áp dụng vì yêu cầu bắt nguồn từ cơ sở hạ tầng của Bing.
Tổng hợp lại, trình tự hoạt động như sau: nạn nhân nhấp vào một liên kết, Copilot tìm kiếm dữ liệu của họ, phản hồi nhúng một giá trị vào URL hình ảnh Bing, trình duyệt gọi Bing trong khi phát trực tuyến và Bing lấy URL của kẻ tấn công. Kẻ tấn công đọc dữ liệu bị đánh cắp từ nhật ký máy chủ của chính chúng, ví dụ như yêu cầu /Your_Security_Code_847291/img.png.
Phạm vi của cuộc tấn công phù hợp với bất cứ điều gì người dùng đã đăng nhập có thể truy cập thông qua quyền Microsoft Graph của họ. Các mục tiêu nhạy cảm nhất về thời gian là mã một lần, mã thông báo MFA và liên kết đặt lại mật khẩu nằm trong hộp thư đến, thường vẫn có hiệu lực trong vài phút. Lời mời trên lịch, ghi chú cuộc họp và mọi tệp SharePoint hoặc OneDrive mà Copilot đã lập chỉ mục cũng nằm trong tầm tay.
Lời khuyên của Microsoft phân loại lỗ hổng là CWE-77, vô hiệu hóa không đúng cách các thành phần đặc biệt được sử dụng trong lệnh. Công ty đánh giá nó rất quan trọng, mặc dù điểm cơ bản CVSS v3.1 là 6,5 phản ánh yêu cầu về tương tác của người dùng, cụ thể là chỉ với một cú nhấp chuột. Bài báo nguồn tường thuật câu chuyện khẳng định NVD đã cho điểm 7,5, nhưng cả bản ghi CSAF của chính Microsoft và mục nhập NVD đều hiển thị một vectơ CVSS:3.1 giống hệt nhau với điểm cơ bản là 6,5.
SearchLeak là lần thứ hai Varonis chứng minh mô hình này chống lại Copilot. Taler trước đây đã tiết lộ cuộc tấn công Reprompt chống lại Copilot Personal, cuộc tấn công này sử dụng kỹ thuật một cú nhấp chuột tương tự để lọc dữ liệu. Lỗ hổng đó đã được báo cáo cho Microsoft vào tháng 8 năm 2025 và được vá vào tháng 1 năm 2026.
SearchLeak đã chống lại Enterprise Search bất chấp các biện pháp bảo vệ bổ sung mà cấp đó phải thực thi.
Loại lỗi tương tự xuất hiện độc lập trong EchoLeak, một lỗ hổng Copilot không cần nhấp chuột được Aim Security tiết lộ vào năm 2025 và được theo dõi là CVE-2025-32711 với điểm CVSS là 9,3. EchoLeak hoàn toàn không yêu cầu sự tương tác của người dùng, nhúng các nội dung nhắc nhở vào các tài liệu mà Copilot xử lý tự động. Cùng với nhau, ba thông tin tiết lộ này tạo thành một mô hình: tính năng tiêm nhắc nhở là thành phần mới khiến các lỗ hổng web cũ trở lại nguy hiểm.
Các điều kiện chạy đua của trình khử trùng SSRF và HTML là các loại lỗi được hiểu rõ mà các nhóm bảo mật đã giảm thiểu trong nhiều năm. Điều khiến chúng trở nên mạnh mẽ trong Copilot là lớp tiêm nhắc nhở, tạo ra đường dẫn để kích hoạt chúng thông qua tham số URL được thiết kế để chấp nhận ngôn ngữ tự nhiên. Hệ thống AI không chỉ tìm kiếm mà còn tuân theo các hướng dẫn được nhúng trong truy vấn và những hướng dẫn đó có thể bao gồm logic lọc dữ liệu mà giao diện tìm kiếm thông thường không thể thực hiện được.
Những tác động này còn vượt ra ngoài Copilot. Các hệ thống AI được tích hợp vào quy trình làm việc của doanh nghiệp kế thừa quyền truy cập của người dùng nhưng đưa ra các bề mặt tấn công mới mà công cụ bảo mật hiện tại không được xây dựng để phát hiện. Bộ lọc URL kiểm tra danh tiếng tên miền sẽ chuyển liên kết đến microsoft.com.
Chính sách bảo mật nội dung tin cậy Bing sẽ cho phép yêu cầu trích xuất. Cả hai công cụ đều không được thiết kế để hỗ trợ một trung gian AI chuyển đổi các tham số URL thành các hướng dẫn thực thi.
Đối với các tổ chức đang chạy Microsoft 365 Copilot Enterprise, Varonis khuyên bạn nên xem các URL Tìm kiếm Copilot mang tải trọng được mã hóa hoặc HTML trong tham số q và giám sát các yêu cầu gửi đi bất thường tới điểm cuối hình ảnh của Bing. Việc thắt chặt quản trị quyền truy cập dữ liệu để Copilot lập chỉ mục ít nội dung hơn sẽ thu hẹp phạm vi mà bất kỳ lỗ hổng nào trong tương lai có thể đạt tới.
Microsoft đã sửa lỗi SearchLeak trước khi nó bị khai thác tràn lan và công ty cho biết không có bằng chứng nào cho thấy việc sử dụng có mục đích xấu. Nhưng sự mở rộng nhanh chóng của Copilot sang môi trường doanh nghiệp và khu vực công có nghĩa là bề mặt tấn công đang phát triển nhanh hơn các rào chắn. Ba tiết lộ trong sáu tháng, mỗi lần bỏ qua các biện pháp bảo vệ mà bản sửa lỗi trước đó đáng lẽ phải thiết lập, cho thấy sự căng thẳng cơ bản giữa việc cấp cho công cụ AI quyền truy cập dữ liệu rộng rãi và việc giữ an toàn cho dữ liệu đó vẫn chưa được giải quyết.
Nguồn The Next Web