Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Microsoft 365 Copilot to asystent oparty na sztucznej inteligencji, który łączy dane z poczty, kalendarza, dokumentów i zasobów organizacyjnych w ramach ekosystemu Microsoft 365. W czerwcu 2026 roku ujawniono jednak poważną podatność oznaczoną jako CVE-2026-42824, która mogła umożliwić wyprowadzenie wrażliwych informacji po zaledwie jednym kliknięciu użytkownika w odpowiednio przygotowany link.
Problem był szczególnie groźny, ponieważ nie wymagał przejęcia konta ofiary ani klasycznego obejścia mechanizmów logowania. Atak wykorzystywał sposób, w jaki Copilot interpretował parametry wejściowe, renderował odpowiedzi oraz współpracował z mechanizmami bezpieczeństwa przeglądarki.
W skrócie
Luka określana jako SearchLeak łączyła kilka słabości w jeden skuteczny łańcuch ataku. Napastnik mógł osadzić w parametrze zapytania instrukcję dla Copilota, doprowadzić do wykonania złośliwego elementu HTML przed zakończeniem sanitacji treści, a następnie wykorzystać dozwolony mechanizm pośredniczący do obejścia ograniczeń polityki CSP.
- atak rozpoczynał się od kliknięcia w link prowadzący do zaufanej domeny,
- Copilot interpretował parametr URL nie tylko jako wyszukiwanie, ale także jako polecenie,
- odpowiedź modelu mogła wywołać żądanie sieciowe przed pełnym oczyszczeniem treści,
- w efekcie możliwy był wyciek tematów wiadomości, danych kalendarzowych, treści dokumentów, a w niektórych przypadkach także kodów MFA i linków resetu hasła.
Microsoft wdrożył już poprawkę po stronie usługi, ale sam incydent pokazuje skalę ryzyka związanego z integracją AI z danymi korporacyjnymi.
Kontekst / historia
SearchLeak wpisuje się w rosnącą grupę podatności charakterystycznych dla systemów generatywnej AI, w których klasyczne błędy aplikacyjne łączą się z nowymi wektorami ataku, takimi jak prompt injection. To ważna zmiana, ponieważ wcześniej podobne problemy analizowano głównie w kontekście aplikacji webowych, a dziś coraz częściej występują one w narzędziach AI działających na uprzywilejowanych danych biznesowych.
W przypadku Microsoft 365 Copilot znaczenie luki wynikało z jego dostępu do środowiska użytkownika. Narzędzie działa w kontekście zalogowanej osoby i może odczytywać zasoby dostępne z poziomu Exchange Online, SharePoint czy OneDrive. Oznacza to, że skuteczny atak nie musiał łamać zabezpieczeń tenantu, lecz jedynie wykorzystać uprawnienia już posiadane przez ofiarę.
Analiza techniczna
Łańcuch ataku składał się z trzech kluczowych etapów. Pierwszym była podatność typu Parameter-to-Prompt Injection. Parametr q w adresie URL wyszukiwania Copilota mógł zostać użyty nie tylko jako zwykłe zapytanie, ale również jako instrukcja kierowana do modelu. Dzięki temu atakujący mógł nakłonić system do wyszukania określonych informacji, takich jak tematy wiadomości, kody bezpieczeństwa czy fragmenty dokumentów.
Drugim elementem był problem z renderowaniem odpowiedzi. Sanitacja generowanej treści następowała zbyt późno względem strumieniowego wyświetlania odpowiedzi w przeglądarce. Jeśli model zwrócił element HTML inicjujący żądanie sieciowe, przeglądarka mogła rozpocząć komunikację jeszcze zanim zabezpieczenia zdążyły zneutralizować niebezpieczny fragment.
Trzecim etapem było obejście polityki Content Security Policy. Chociaż środowisko blokowało bezpośrednie ładowanie zasobów z nieautoryzowanych domen, dopuszczało określone usługi pośredniczące. Badacze wykazali, że taki dozwolony endpoint mógł pobrać zasób z serwera kontrolowanego przez napastnika. Jeśli wcześniej dane zostały zakodowane w ścieżce lub parametrze URL, finalnie trafiały do infrastruktury atakującego.
W praktyce cały scenariusz mógł wyglądać następująco: użytkownik otwierał link do zaufanej domeny, Copilot realizował osadzoną w nim instrukcję, odpowiedź zawierała element wywołujący połączenie sieciowe, a pośrednicząca usługa przekazywała żądanie na zewnętrzny serwer wraz z fragmentem wyprowadzanych danych. Całość odbywała się bez dodatkowej interakcji ze strony ofiary.
Konsekwencje / ryzyko
Skutki tej podatności należy ocenić jako bardzo poważne, zwłaszcza w organizacjach intensywnie korzystających z Copilota i przechowujących w Microsoft 365 dane o wysokiej wrażliwości. Atakujący mógł potencjalnie uzyskać dostęp do korespondencji, zaproszeń kalendarzowych, notatek, dokumentów firmowych oraz innych informacji dostępnych dla zalogowanego użytkownika.
Szczególnie niebezpieczne były scenariusze obejmujące krótkotrwałe sekrety, takie jak jednorazowe kody MFA, wiadomości z kodami weryfikacyjnymi lub linki resetu hasła. Uzyskanie takich danych we właściwym momencie mogło umożliwić przejęcie konta lub dalszą eskalację dostępu.
Istotny był również fakt, że link prowadził do legalnej i rozpoznawalnej domeny. To ograniczało skuteczność klasycznych mechanizmów antyphishingowych i zwiększało szansę, że użytkownik zaufa odnośnikowi. Ostateczny zasięg szkód zależał więc w dużej mierze od poziomu nadmiarowych uprawnień oraz skali ekspozycji danych w organizacji.
Rekomendacje
Ponieważ poprawka została wdrożona po stronie usługi zarządzanej, organizacje powinny skoncentrować się na działaniach ograniczających skutki podobnych incydentów w przyszłości. Kluczowe pozostają detekcja, kontrola uprawnień oraz podniesienie świadomości użytkowników.
- monitorowanie logów pod kątem nietypowych adresów URL wyszukiwania Copilota, zwłaszcza z długimi lub zakodowanymi wartościami parametru
q, - analiza ruchu związanego z usługami pośredniczącymi w pobieraniu zasobów i korelowanie go z użyciem Copilota,
- przegląd uprawnień w SharePoint, OneDrive i Exchange zgodnie z zasadą najmniejszych uprawnień,
- stosowanie etykiet wrażliwości i ograniczanie nadmiernej ekspozycji danych historycznych,
- aktualizacja szkoleń awareness, aby użytkownicy wiedzieli, że także linki do zaufanych domen mogą być wektorem ataku,
- projektowanie interfejsów AI zgodnie z zasadą, że odpowiedzi generowane przez model należy traktować jako dane nieufne do momentu bezpiecznego wyrenderowania.
Podsumowanie
Incydent SearchLeak pokazał, że bezpieczeństwo systemów AI nie może być analizowane wyłącznie przez pryzmat prompt injection ani tylko tradycyjnych błędów aplikacyjnych. Najgroźniejsze scenariusze pojawiają się wtedy, gdy oba światy łączą się w jeden skuteczny łańcuch eksploatacji.
Choć Microsoft usunął już opisaną lukę, sprawa pozostaje ważnym ostrzeżeniem dla firm wdrażających asystentów AI w środowiskach korporacyjnych. Ograniczanie uprawnień, monitoring nietypowych zachowań oraz traktowanie komponentów AI jako nowej powierzchni ataku powinny stać się standardem bezpieczeństwa.
Źródła
- One-Click Microsoft 365 Copilot Flaw Could Have Let Attackers Steal Emails, Files, and MFA Codes — https://thehackernews.com/2026/06/one-click-microsoft-365-copilot-flaw.html
- SearchLeak: How We Turned M365 Copilot Into a One-Click Data Exfiltration Weapon — https://www.varonis.com/blog/searchleak
- Microsoft Security Response Center — CVE-2026-42824 — https://msrc.microsoft.com/update-guide/
- National Vulnerability Database — https://nvd.nist.gov/