Con un solo clic en un enlace confiable de Microsoft, un atacante podría recuperar correos electrónicos, detalles del calendario y archivos indexados de Microsoft 365 Copilot Enterprise Search.
Los investigadores de Varonis Threat Labs encadenaron tres errores en una ruta de fuga de un solo clic llamada SearchLeak. Debido a que este vínculo apunta al dominio Microsoft.com real, es poco probable que las herramientas tradicionales de filtrado de URL y antiphishing marquen este dominio.
Sin indicaciones, sin contraseñas, sin segundos clics. Microsoft asignó CVE-2026-42824 y lo marcó como crítico. Las puntuaciones del CVSS fueron bajas y no concordantes. Era 6,5 para Microsoft y 7,5 para la Base de datos nacional de vulnerabilidad. La compañía mitigó la falla del backend para que los clientes no tengan nada de qué preocuparse y Varonis presentó una prueba de concepto sin vulnerabilidades observadas.
Resuelve 3 errores en 1 clic
El aviso de Microsoft describe la falla como una inyección de comando que potencialmente podría filtrar información a través de la red. De hecho, SearchLeak superpone dos viejos errores web con una debilidad específica de la IA, cada uno de los cuales se vincula con el siguiente.
El punto de entrada es el parámetro q de la URL de búsqueda de Copilot Enterprise. Aunque está pensado para consultas en lenguaje natural, Copilot lee todo lo que contiene como instrucciones, no sólo como una cadena de búsqueda.
Varonis llama a esto inyección de parámetro a mensaje. El atacante escribe una URL que le indica a Copilot que busque en el buzón, recupere el título del correo electrónico y lo coloque dentro de la URL de la imagen. La víctima no introduce nada. Haga clic y Copilot hará el trabajo por usted.
Lo siguiente es una condición de carrera en cómo se presenta la respuesta. Las barreras de seguridad de Microsoft envuelven la salida de Copilot en un bloque, por lo que el navegador trata el marcado como texto. El problema es el tiempo. El ajuste ocurre después de que Copilot haya terminado de generarlo, pero el navegador procesa la transmisión a medida que llega. inyectado La etiqueta se representa y esa solicitud se emite antes de que se ejecute el desinfectante. Cuando se desactiva la salida, la solicitud ya ha finalizado.
El último enlace recupera datos más allá de la política de seguridad de contenido de la página.
CSP para m365.cloud.microsoft bloquea imágenes de cualquier dominio, pero permite listas *.bing.com. El punto final de búsqueda por imagen de Bing acepta la URL de una imagen y la recupera del lado del servidor para su análisis. Bing recupera el texto robado codificado en la ruta haciendo que el servidor del atacante lo recupere. Dado que la solicitud proviene de la infraestructura de Bing, no se aplica el CSP del navegador. Bing es su proxy de extracción. La lista blanca de CSP se esconde.
En resumen, la víctima hace clic, Copilot busca esos datos, la respuesta incorpora valores como el asunto del correo electrónico en una URL de imagen de Bing, el navegador llama a Bing durante la transmisión y Bing extrae la URL del atacante. Un atacante lee solicitudes como /Your_Security_Code_847291/img.png de sus registros.
Lo que obtiene el atacante
Copilot Enterprise puede acceder a cualquier cosa a la que un usuario que haya iniciado sesión pueda acceder a través del acceso a Microsoft Graph, y un atacante hereda ese acceso sin iniciar sesión.
Los premios más urgentes son los códigos de un solo uso, los códigos MFA y los enlaces para restablecer la contraseña, que suelen ser válidos durante unos minutos. Un script que los elimine del registro mientras la ventana está abierta podría hacerse cargo de la cuenta antes de que alguien se dé cuenta.
El mismo acceso llega a las invitaciones del calendario, notas de reuniones y archivos de SharePoint o OneDrive indexados por Copilot, donde se almacenan los datos de nómina, los montos de las ganancias y los planes de ingresos.
Esta es la segunda vez que Varonis demuestra este patrón en SearchLeak. El investigador de Varonis, Dolev Taler, demostró la misma técnica de un clic en un ataque previo de Reprompt contra Copilot Personal, y resistió contra Enterprise Search a pesar de las barreras de seguridad adicionales que se suponía que debía imponer la capa.
El mismo patrón apareció en EchoLeak (CVE-2025-32711), un error de fuga de datos de Copilot sin clic publicado en 2025 por Aim Security. Las carreras de SSRF y desinfectantes son clases de errores antiguas. La inyección inmediata es una pieza nueva que la hace accesible nuevamente.
Aunque Microsoft ha mitigado la falla del backend, Copilot Enterprise es un servicio administrado, por lo que los administradores de inquilinos no pueden parchear ni reconfigurar la parte fallida. Lo único que pueden hacer es monitorearlo y contenerlo.
Busque URL de búsqueda de Copilot con cargas útiles o HTML codificado en el parámetro q y solicitudes salientes inusuales al punto final de imágenes de Bing. Fortalecer la gobernanza del acceso a los datos para reducir la indexación de Copilot y reducir el alcance de futuras infracciones.
Source link
