Исследователи из Varonis Threat Labs обнаружили критическую уязвимость в поисковом модуле Microsoft 365 Copilot Enterprise Search. Проблеме присвоен идентификатор CVE-2026-42824. Уязвимость получила название SearchLeak. Она позволяет злоумышленнику организовать цепочку эксплуатации из трёх этапов, в результате которой хищение корпоративных данных происходит после одного действия пользователя. Патч от Microsoft уже выпущен.
Уязвимость CVE-2026-42824
SearchLeak представляет собой комбинацию уязвимости, связанной с инжекцией промптов, гонки состояний при рендеринге HTML и подделки запросов на стороне сервера (SSRF). Атака использует особенности интеграции искусственного интеллекта с традиционными веб-механизмами. Исходный вектор - параметр запроса в URL-адресах, предназначенных для обработки поисковых запросов на естественном языке. Вместо того чтобы интерпретировать этот параметр только как входные данные, движок Copilot воспринимает его как исполняемые инструкции. Злоумышленник формирует вредоносную ссылку, которая внедряет скрытый промпт, предписывающий Copilot извлечь определённые данные из корпоративных источников.
Поскольку Copilot работает с правами вошедшего пользователя, даже низкопривилегированная учётная запись может быть использована для доступа к конфиденциальной информации. В ходе второй стадии эксплуатации используется гонка состояний при рендеринге ответа. Microsoft применяет защитный механизм, который оборачивает потенциально вредоносный вывод в блоки кода, однако эта санитизация происходит после того, как искусственный интеллект уже начал потоковую передачу ответа. В течение короткого промежутка времени браузер может отрендерить внедрённый HTML-тег до того, как сработает защита. Это позволяет выполнить исходящий запрос, в который уже встроены похищенные данные.
Третья стадия использует технику подделки запросов на стороне сервера через доверенный домен Microsoft. Политика безопасности контента (Content Security Policy, CSP) блокирует отправку запросов на недоверенные домены, но правила Microsoft разрешают обращения к сервисам Bing, включая сервис поиска изображений. Атакующий встраивает похищенные данные в URL запроса к сервису поиска изображений Bing. Когда браузер жертвы загружает такое изображение, серверы Bing, действуя как прокси, передают данные на контролируемый злоумышленником хост. Таким образом обходятся браузерные защиты уровня CSP.
Сценарий реальной атаки выглядит следующим образом. Жертва получает по электронной почте, через Teams или Slack ссылку, которая выглядит как легитимный адрес Microsoft. После перехода по ней Copilot автоматически выполняет внедрённый промпт, ищет данные в корпоративных хранилищах, а затем генерирует ответ со скрытой вредоносной нагрузкой. Данные утекают вовне на этапе рендеринга без какого-либо дополнительного взаимодействия пользователя. Поскольку ссылка ведёт на домен Microsoft, традиционные средства защиты от фишинга и фильтрации URL не распознают угрозу.
SearchLeak представляет серьёзную угрозу для корпоративной среды, особенно в организациях, где Copilot глубоко интегрирован с данными. Атакующий может получить доступ к темам писем, содержащим одноразовые пароли, конфиденциальную переписку, повестки совещаний и корпоративные документы, такие как финансовые отчёты или стратегические планы. Атака не требует дополнительной аутентификации, кроме уже активной сессии жертвы, что позволяет злоумышленнику извлекать данные без срабатывания стандартных сигнатур безопасности.
Microsoft выпустила исправление. Однако сам факт обнаружения этой уязвимости указывает на фундаментальную проблему безопасности в системах на базе искусственного интеллекта. Комбинируя инжекцию промптов, гонку состояний и подделку запросов на стороне сервера, исследователи продемонстрировали, что искусственный интеллект может выступать в роли моста, делающего ранее изолированные уязвимости эксплуатируемыми в новых контекстах. Данная находка следует за предыдущими открытиями, в частности уязвимостью Reprompt, и подчёркивает необходимость строгой валидации входных данных, санитизации вывода в реальном времени и более жёсткого контроля над доступом к данным через системы искусственного интеллекта.
Организациям, использующим Copilot, следует установить вышедшее обновление в приоритетном порядке. Без патча любая ссылка с доверенного домена Bing может быть использована для негласного хищения данных. В долгосрочной перспективе командам безопасности необходимо пересмотреть модели угроз с учётом атак, опосредованных системами искусственного интеллекта, поскольку один клик может превратить продуктивный инструмент в мощный канал утечки конфиденциальной информации.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-42824
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42824
- https://www.varonis.com/blog/searchleak
