TOBIAS SCHOTTSTÄDT
FULL-STACK DEVELOPER
AUS KASSEL

In der „SearchLeak“-Schwachstelle in Microsoft 365 Copilot Enterprise könnten Angreifer sensible Daten aus dem Mailbox-, OneDrive- oder SharePoint-Konto eines Ziels mittels einer speziell präparierten URL stehlen.

Die entwendeten Informationen umfassen beispielsweise E-Mail-Inhalte (wie Zugangscodes oder Passwörter), Kalenderereignisse und Meeting-Details, Dokumente sowie alle weiteren Inhalte, die über Copilot Enterprise Search zugänglich sind.

Microsoft hat diese Schwachstelle zu Beginn des Monats behoben und ihr die Kennung CVE-2026-42824 mit der höchsten Gefahrenstufe (Kritisch) zugewiesen.

Forscher von Varonis, einem Unternehmen für Unternehmensdaten-Sicherheit, entwickelten SearchLeak, indem sie drei einzelne Fehler miteinander verknüpften. Allein betrachtet wäre jeder dieser Schwachstellen nicht ausreichend, um einen signifikanten Angriff zu ermöglichen.

Die Kombination bestand aus einer Parameter-zu-Prompt-Injection, einem HTML-Rendering-Race-Condition und einem Bypass der Content-Security-Policy (CSP), welcher durch Server-Side Request Forgery (SSRF) ermöglicht wird.

Im ersten Schritt nutzt der Angriff eine Schwäche des Parameters-to-Prompt (P2P)-Injecting aus, indem er die Art und Weise ausnutzt, wie Microsoft 365 Copilot Search den URL-Parameter ‘q’ für Suchanfragen entgegennimmt. Im Gegensatz zu regulärem Copilot, das Inhalte generiert, sucht Microsoft Copilot Enterprise gezielt in Unternehmensdaten wie E-Mails, Meetings, SharePoint-Dateien und OneDrive.

Laut Varonis-Forschern können Angreifer eine URL erstellen, die Copilot anweist, „die E-Mails des Benutzers zu durchsuchen, den Titel zu extrahieren und diesen in einer Bild-URL einzubetten“. Das Opfer muss hierfür nichts eingeben; es reicht aus, dass es auf einen Link klickt, und Copilot übernimmt den Rest.

Dieser Mechanismus erlaubte das Erstellen eines Links, der spezifische Anweisungen für Copilot enthielt, beispielsweise die Suche in der Mailbox des Opfers und Formatieren der Ergebnisse auf bestimmte Weise.

Im zweiten Schritt wird eine HTML-Rendering-Race-Condition ausgenutzt. Dabei rendert der Browser rohes HTML vorübergehend, bevor es in `-Blöcke eingeschlossen wird, was während des Streaming von Copilots Ausgabe neutralisiert wird. Dies ermöglicht es, dass bösartiges HTML mit einem `-Tag ausgeführt wird und ausgehende Anfragen auslöst, bevor der Sanitiser Prozess abgeschlossen ist.

Der dritte Teil der Kette ist eine SSRF-Schwachstelle in Bing’s „Search by Image“-Funktion. Diese Funktion wird verwendet, um einen Ladevorgang für ein Bild von einem Angreifer-Endpunkt zu starten. Da Bing die Anfrage durchführt – in diesem Fall zur Abrufung von Inhalten, die Copilot analysieren soll – wird die CSP-Schutzmaßnahme umgangen.

Die gestohlenen Daten werden dann im URL-Aufruf eingebettet, wodurch der Angreifer sie aus den Anforderungs-Logs seines Servers lesen kann. Die Forscher schlussfolgern: „Bing fungiert hier als unbewusster Exfiltrations-Proxy. Ein klassisches SSRF, das hinter einem CSP Allowlist-Eintrag verborgen liegt.“

Bei der Verknüpfung aller Schwächen startet der Angriff mit dem Klick des Opfers auf einen präparierten Link, welcher Microsoft 365 Copilot Search über den Parameter ‘q’ initiiert und Anweisungen zur Suche in dessen Mailbox oder anderen Datenquellen enthält. Im nächsten Schritt generiert Copilot als Antwort ein Bild-Tag, welches die gestohlenen Informationen im URL beinhaltet. Während dieser Antwortstream wird das Bild vom Browser gerendert und sendet eine Anfrage an Bing, welche wiederum die Angreifer-URL abruft, in welcher sich die sensiblen Daten befinden.

Für das Opfer ist dabei lediglich sichtbar, dass Copilot einen Moment „nachdenkt“, ohne jedoch irgendeinen Hinweis auf eine laufende Datenexfiltration zu erhalten. Die Mitigation dieser Bedrohung erfordert daher keine spezielle Benutzeraktion mehr, da Microsoft CVE-2026-42824 geschlossen hat.

Varonis betont, dass vertraute, leicht einzudämmende Bugs wie SSRF und HTML-Injektions-Race-Conditions zu mächtigen Angriffswegen verarbeitet werden können, sobald eine Prompt Injection möglich ist. Letztendlich haben KI-Systeme neue Wege geschaffen, ältere Fehlerklassen auszunutzen – gerade in Kontexten, in denen sie zuvor nicht annähernd so wirksam gewesen wären.

Quelle: www.bleepingcomputer.com