Microsoft beschreibt CVE-2026-42824 in seinem Advisory als Kommandoinjektion, durch die sich Informationen über ein Netzwerk offenlegen lassen. In der praktischen Ausnutzung bestand SearchLeak laut Varonis aus einer KI-spezifischen Schwäche und zwei bekannten Webfehlerklassen, die aufeinander aufbauten.
Ausgangspunkt war der Parameter q in der URL von Copilot Enterprise Search. Eigentlich ist er für natürlichsprachige Suchanfragen gedacht. Nach Darstellung von Varonis konnte Copilot die dort eingefügten Inhalte jedoch nicht nur als Suchtext, sondern als Anweisungen interpretieren. Die Forscher bezeichnen das als Parameter-zu-Prompt-Injektion. Ein präparierter Link konnte Copilot so veranlassen, ein Postfach zu durchsuchen, einen E-Mail-Betreff zu entnehmen und diesen in eine Bild-URL einzubauen — ohne Eingabe des Opfers, ohne Passwort und ohne zweiten Klick.
Der zweite Baustein war eine Race Condition bei der Darstellung der Antwort. Microsofts Schutzmechanismus verpackt Copilot-Ausgaben in code-Blöcke, damit der Browser Markup als Text behandelt. Laut Varonis greift diese Bereinigung aber erst, nachdem Copilot die Ausgabe vollständig erzeugt hat. Der Browser rendert den Datenstrom jedoch bereits während der Übertragung. Ein injiziertes img-Tag konnte deshalb schon eine Anfrage auslösen, bevor die Bereinigung wirksam wurde.
Den letzten Schritt übernahm laut Varonis eine Umgehung der Content Security Policy der Seite m365.cloud.microsoft. Zwar blockiert diese Richtlinie Bilder von beliebigen Domains, erlaubt aber *.bing.com. Bing bietet einen Endpunkt für die Bildersuche an, der eine Bild-URL entgegennimmt und serverseitig abruft. Wenn der gestohlene Text im Pfad einer Angreifer-URL kodiert war, holte Bing diese Adresse ab. Die Browser-Richtlinie griff dabei nicht, weil die Anfrage aus der Bing-Infrastruktur kam. Varonis beschreibt Bing damit als Exfiltrations-Proxy.
Im Ergebnis konnte Copilot Enterprise Search Daten erreichen, auf die der angemeldete Benutzer über Microsoft Graph Zugriff hat. Dazu zählen laut dem Quelltext E-Mails, Kalenderdetails, Besprechungsnotizen sowie indexierte Dateien aus SharePoint und OneDrive. Besonders zeitkritisch seien Inhalte im Posteingang wie Einmalcodes, MFA-Codes und Links zum Zurücksetzen von Passwörtern, die oft nur wenige Minuten gültig sind.
Varonis verweist darauf, dass dies nicht das erste Mal ist, dass dieses Muster auftaucht. Der Varonis-Forscher Dolev Taler hatte die gleiche One-Click-Technik bereits in einem früheren Reprompt-Angriff gegen Copilot Personal demonstriert. Ein ähnliches Muster zeigte sich zudem bei EchoLeak, der Zero-Click-Datenleck-Schwachstelle CVE-2025-32711, die Aim Security 2025 veröffentlicht hatte. SSRF und Race Conditions bei der Bereinigung seien alte Fehlerklassen; neu sei hier die Prompt-Injektion, die sie wieder erreichbar mache.
Microsoft hat die Schwachstelle im Backend entschärft. Weil Copilot Enterprise als verwalteter Dienst betrieben wird, können Mandantenadministratoren die fehlerhaften Komponenten nicht selbst patchen oder neu konfigurieren. Laut Quelltext bleibt ihnen, nach auffälligen Copilot-Such-URLs mit kodierten Nutzlasten oder HTML im q-Parameter sowie nach ungewöhnlichen ausgehenden Anfragen an Bings Bild-Endpunkte zu suchen. Varonis empfiehlt außerdem eine restriktivere Datenzugriffssteuerung, damit Copilot weniger Inhalte indiziert.