Met één klik op een vertrouwde Microsoft-link had een aanvaller e-mails, agendagegevens en geïndexeerde bestanden uit Microsoft 365 Copilot Enterprise Search kunnen halen.
Onderzoekers van Varonis Threat Labs hebben drie bugs samengevoegd in een exfiltratiepad met één klik dat ze noemen Zoeklek. Omdat de link naar een echt Microsoft.com-domein verwees, was het onwaarschijnlijk dat traditionele antiphishing- en URL-filtertools deze zouden markeren.
Geen prompt, geen wachtwoord, geen tweede klik. Microsoft heeft CVE-2026-42824 toegewezen en gemarkeerd als kritiek; de CVSS-scores waren lager en waren het daar niet mee eens, 6,5 van Microsoft en 7,5 van de National Vulnerability Database. Het bedrijf heeft de fout in de backend verholpen, zodat klanten zich nergens zorgen over hoeven te maken, en Varonis presenteerde een proof-of-concept, geen waargenomen exploitatie.
Drie bugs, één klik
Het advies van Microsoft beschrijft de fout als een opdrachtinjectie die informatie via een netwerk kan vrijgeven. In de praktijk stapelt SearchLeak één AI-specifieke zwakte op twee oude webbugs, en elke link is nodig voor de volgende.
Het toegangspunt is de Q parameter in de Copilot Enterprise Search-URL. Het is bedoeld voor een zoekopdracht in natuurlijke taal, maar Copilot leest alles wat daar staat als instructies, niet alleen als een zoekreeks.
Varonis noemt dit Parameter-naar-prompt-injectie. Een aanvaller schrijft een URL die Copilot vertelt de mailbox te doorzoeken, een e-mailtitel te nemen en deze in een afbeeldings-URL te plaatsen. Het slachtoffer typt niets. Ze klikken en Copilot doet het werk.
Het volgende is een racevoorwaarde in de manier waarop het antwoord wordt weergegeven. De vangrail van Microsoft omsluit de uitvoer van Copilot blokkeert zodat de browser markeringen als tekst behandelt. Het addertje onder het gras is de timing: het inpakken gebeurt nadat Copilot klaar is met genereren, maar de browser geeft de stream weer zodra deze binnenkomt. De geïnjecteerde tag wordt getrokken en vuurt zijn verzoek af voordat het ontsmettingsmiddel wordt uitgevoerd. Tegen de tijd dat de uitvoer wordt geneutraliseerd, is het verzoek al vertrokken.
De laatste link haalt de gegevens voorbij het Content Security Policy van de pagina. De CSP op m365.cloud.microsoft blokkeert afbeeldingen van willekeurige domeinen, maar zet *.bing.com op de toelatingslijst. Het ‘Zoeken op afbeelding’-eindpunt van Bing accepteert een afbeeldings-URL en haalt deze op de server op om deze te analyseren. Wijs dat ophalen op de server van een aanvaller met de gestolen tekst gecodeerd in het pad, en Bing haalt deze op. De CSP van de browser is nooit van toepassing, omdat het verzoek afkomstig is van de infrastructuur van Bing. Bing wordt de exfiltratie-proxy. De CSP-toelatingslijst zorgt voor het verbergen.
Samengevat: het slachtoffer klikt, Copilot doorzoekt zijn gegevens, het antwoord integreert een waarde zoals een e-mailonderwerp in een Bing-afbeeldings-URL, de browser roept Bing aan tijdens het streamen en Bing haalt de URL van de aanvaller op. De aanvaller leest het uit zijn eigen logboeken, bijvoorbeeld een verzoek om /Your_Security_Code_847291/img.png.
Wat een aanvaller krijgt
Copilot Enterprise kan alles bereiken wat de aangemelde gebruiker kan, via zijn Microsoft Graph-toegang, en de aanvaller erft dat bereik zonder ooit in te loggen.
De meest tijdgevoelige prijs zit in de inbox: eenmalige codes, MFA-codes en links voor het opnieuw instellen van wachtwoorden, vaak nog een paar minuten geldig. Een script dat deze uit een logboek haalt terwijl het venster open is, kan een account overnemen voordat iemand het merkt.
Dezelfde toegang bereikt ook agenda-uitnodigingen, vergadernotities en elk SharePoint- of OneDrive-bestand dat Copilot heeft geïndexeerd, waar de salarisgegevens, inkomstencijfers en acquisitieplannen staan.
SearchLeak is de tweede keer dat Varonis dit patroon laat zien. Varonis-onderzoeker Dolev Taler demonstreerde dezelfde één-klik-techniek in een eerdere Reprompt-aanval op Copilot Personal, en deze hield stand tegen Enterprise Search ondanks de extra vangrails die deze laag zou moeten afdwingen.
Hetzelfde patroon kwam naar voren in EchoLeak (CVE-2025-32711), de zero-click Copilot datalek-bug Aim Security die in 2025 werd onthuld. SSRF- en sanitizer-races zijn oude bugklassen; de snelle injectie is het nieuwe onderdeel en maakt ze weer bereikbaar.
Microsoft heeft de fout in de backend verholpen en omdat Copilot Enterprise een beheerde service is, kunnen tenantbeheerders de mislukte onderdelen niet patchen of opnieuw configureren. Wat ze wel kunnen doen is toekijken en in bedwang houden.
Zoek naar Copilot Search-URL’s met gecodeerde payloads of HTML in de q-parameter, en naar ongebruikelijke uitgaande verzoeken naar de afbeeldingseindpunten van Bing. Verscherp het beheer van de gegevenstoegang, zodat Copilot minder indexeert, waardoor het bereik van een toekomstig lek kleiner wordt.
