- Автор темы
- #1
В начале июня инженеры Microsoft сообщали об исправлении критической уязвимости CVE-2026-42824. Теперь специалисты компании Varonis раскрыли детали этой проблемы и описали атаку, получившую название SearchLeak. Как выяснилось, уязвимость позволяла превратить Microsoft 365 Copilot Enterprise в инструмент для скрытой кражи данных.
Эксперты пишут, что проблема затрагивала практически все, к чему имел доступ Copilot Enterprise Search: содержимое электронной почты, документы в SharePoint и OneDrive, данные календарей, приглашения на встречи, заметки и другие корпоративные сведения. При этом жертве не требовалось делать ничего, достаточно было открыть специально подготовленную ссылку.
Схема атаки
В рамках демонстрации атаки исследователи показали даже кражу одноразовых кодов двухфакторной аутентификации из писем.
В основе атаки SearchLeak лежала цепочка из трех отдельных проблем, каждая из которых сама по себе не представляла серьезной угрозы. Так, исследователи объединили в цепочку P2P-инжект, состояние гонки при рендеринге HTML и обход Content Security Policy (CSP) через SSRF в Bing.
На первом этапе атаки специалисты эксплуатировали особенность работы Copilot Enterprise Search, который принимает поисковые запросы через параметр q в URL. В отличие от обычного Copilot, генерирующего ответы на основе промптов, Enterprise Search работает как поисковая система по корпоративным данным: письмам, файлам и другим ресурсам Microsoft 365.
В результате атакующий мог встроить в параметр q инструкции для Copilot, вынуждая его найти письма пользователя, извлечь из них нужные данные, а затем встроить полученную информацию в HTML-ответ. Украденные данные подставлялись в URL изображения внутри тега <img>. То есть после перехода по вредоносной ссылке Copilot самостоятельно искал нужные данные и подготавливал их к передаче на внешний сервер.
Второй этап атаки был связан с тем, что во время генерации ответа Copilot сначала выводил сырой HTML и только потом оборачивал результат в блоки <code>. Исследователи обнаружили, что между этими действиями существует небольшой промежуток времени, когда браузер успевал обработать HTML-теги. Этого оказывалось достаточно для обработки тега <img>. Как только браузер видел ссылку на «изображение», он немедленно отправлял запрос по указанному адресу, пытаясь загрузить картинку еще до того, как успевала сработать защита.
Однако оставалась последняя проблема: Copilot не должен обращаться к произвольным внешним сайтам. Для обхода этого ограничения исследователи воспользовались функцией Bing Search by Image. Поскольку обращения к Bing разрешены политикой безопасности Microsoft, запрос сначала уходил на поисковые серверы, а затем Bing сам запрашивал изображение с сервера злоумышленников. В итоге украденные данные оказывались встроены прямо в URL изображения, а сервер атакующих получал этот запрос от Bing и сохранял полученную информацию в логах.
По сути, Bing становился прокси для извлечения данных, а со стороны пользователя все выглядело безобидно: Copilot несколько секунд «размышлял» над запросом, после чего возвращал ответ. Не было никаких предупреждений или заметных признаков утечки данных.
Хотя разработчики Microsoft уже устранили проблему CVE-2026-42824, и пользователям не нужно предпринимать никаких дополнительных действий, исследователи полагают, что атака SearchLeak демонстрирует более серьезную проблему. По их словам, современные ИИ-системы открывают путь для новых способов эксплуатации старых типов багов, вроде SSRF или HTML-инъекций, которые раньше редко приводили к столь опасным последствиям.
Хуже того, большие языковые модели по-прежнему плохо различают команды, поступившие от пользователя, и инструкции, скрытые во внешнем контенте. Из-за этого разработчикам приходится постоянно создавать новые защитные механизмы поверх уже существующих, а атакующие продолжают обнаруживать способы их обхода.
Эксперты пишут, что проблема затрагивала практически все, к чему имел доступ Copilot Enterprise Search: содержимое электронной почты, документы в SharePoint и OneDrive, данные календарей, приглашения на встречи, заметки и другие корпоративные сведения. При этом жертве не требовалось делать ничего, достаточно было открыть специально подготовленную ссылку.
Схема атакиВ рамках демонстрации атаки исследователи показали даже кражу одноразовых кодов двухфакторной аутентификации из писем.
В основе атаки SearchLeak лежала цепочка из трех отдельных проблем, каждая из которых сама по себе не представляла серьезной угрозы. Так, исследователи объединили в цепочку P2P-инжект, состояние гонки при рендеринге HTML и обход Content Security Policy (CSP) через SSRF в Bing.
На первом этапе атаки специалисты эксплуатировали особенность работы Copilot Enterprise Search, который принимает поисковые запросы через параметр q в URL. В отличие от обычного Copilot, генерирующего ответы на основе промптов, Enterprise Search работает как поисковая система по корпоративным данным: письмам, файлам и другим ресурсам Microsoft 365.
В результате атакующий мог встроить в параметр q инструкции для Copilot, вынуждая его найти письма пользователя, извлечь из них нужные данные, а затем встроить полученную информацию в HTML-ответ. Украденные данные подставлялись в URL изображения внутри тега <img>. То есть после перехода по вредоносной ссылке Copilot самостоятельно искал нужные данные и подготавливал их к передаче на внешний сервер.
Второй этап атаки был связан с тем, что во время генерации ответа Copilot сначала выводил сырой HTML и только потом оборачивал результат в блоки <code>. Исследователи обнаружили, что между этими действиями существует небольшой промежуток времени, когда браузер успевал обработать HTML-теги. Этого оказывалось достаточно для обработки тега <img>. Как только браузер видел ссылку на «изображение», он немедленно отправлял запрос по указанному адресу, пытаясь загрузить картинку еще до того, как успевала сработать защита.
Однако оставалась последняя проблема: Copilot не должен обращаться к произвольным внешним сайтам. Для обхода этого ограничения исследователи воспользовались функцией Bing Search by Image. Поскольку обращения к Bing разрешены политикой безопасности Microsoft, запрос сначала уходил на поисковые серверы, а затем Bing сам запрашивал изображение с сервера злоумышленников. В итоге украденные данные оказывались встроены прямо в URL изображения, а сервер атакующих получал этот запрос от Bing и сохранял полученную информацию в логах.
По сути, Bing становился прокси для извлечения данных, а со стороны пользователя все выглядело безобидно: Copilot несколько секунд «размышлял» над запросом, после чего возвращал ответ. Не было никаких предупреждений или заметных признаков утечки данных.
Хотя разработчики Microsoft уже устранили проблему CVE-2026-42824, и пользователям не нужно предпринимать никаких дополнительных действий, исследователи полагают, что атака SearchLeak демонстрирует более серьезную проблему. По их словам, современные ИИ-системы открывают путь для новых способов эксплуатации старых типов багов, вроде SSRF или HTML-инъекций, которые раньше редко приводили к столь опасным последствиям.
Хуже того, большие языковые модели по-прежнему плохо различают команды, поступившие от пользователя, и инструкции, скрытые во внешнем контенте. Из-за этого разработчикам приходится постоянно создавать новые защитные механизмы поверх уже существующих, а атакующие продолжают обнаруживать способы их обхода.