Microsoft beschreibt CVE-2026-42824 in seinem Sicherheitshinweis als Kommandoinjektion, über die sich Informationen über ein Netzwerk offenlegen lassen. In der praktischen Ausnutzung setzt SearchLeak laut Varonis auf eine KI-spezifische Schwäche, kombiniert mit zwei älteren Web-Fehlerklassen. Jeder Schritt der Kette bereitet dabei den nächsten vor.
Der Einstiegspunkt ist der Parameter q in der URL von Copilot Enterprise Search. Eigentlich ist er für eine natürlichsprachliche Suchanfrage vorgesehen. Varonis zufolge interpretiert Copilot den Inhalt dieses Parameters jedoch nicht nur als Suchbegriff, sondern als Anweisungen. Die Forscher bezeichnen das als „Parameter-zu-Prompt-Injektion“. Ein Angreifer kann damit eine URL bauen, die Copilot anweist, ein Postfach zu durchsuchen, einen E-Mail-Betreff zu entnehmen und ihn in eine Bild-URL einzubauen. Die betroffene Person muss nichts eingeben; der Klick genügt.
Danach greift eine Race Condition bei der Darstellung der Antwort. Microsoft versieht Copilot-Ausgaben mit code-Blöcken, damit der Browser Markup als Text behandelt. Laut Varonis liegt das Problem im Timing: Diese Absicherung erfolgt erst, nachdem Copilot die Ausgabe fertig erzeugt hat, während der Browser den Datenstrom bereits während der Übertragung rendert. Ein eingeschleustes img-Tag kann deshalb noch vor der Bereinigung dargestellt werden und seine Anfrage auslösen. Wenn die Ausgabe schließlich neutralisiert wird, ist die Anfrage bereits abgesetzt.
Der letzte Baustein führt die Daten an der Content Security Policy vorbei. Auf m365.cloud.microsoft blockiert die Richtlinie Bilder von beliebigen Domains, erlaubt aber Ziele unterhalb von *.bing.com. Varonis zufolge akzeptiert der Bing-Endpunkt „Suche per Bild“ eine Bild-URL und ruft sie serverseitig zur Analyse ab. Zeigt diese URL auf einen Server des Angreifers und enthält der Pfad den entwendeten Text, holt Bing die Adresse selbst ab. Die Browser-Richtlinie greift dabei nicht, weil die Anfrage aus der Bing-Infrastruktur stammt. Bing wird so zum Exfiltrations-Proxy.
Im Ergebnis klickt das Opfer auf den Link, Copilot durchsucht die Daten des angemeldeten Nutzers, die Antwort baut etwa einen E-Mail-Betreff in eine Bing-Bild-URL ein, der Browser ruft Bing während des Streamings auf, und Bing lädt die URL des Angreifers. Der entwendete Wert erscheint dann in dessen Protokollen, etwa als Anfrage auf einen Pfad wie /Your_Security_Code_847291/img.png. Da Copilot Enterprise über den Microsoft-Graph-Zugriff auf alles zugreifen kann, was dem angemeldeten Nutzer offensteht, erbt ein Angreifer diese Reichweite, ohne sich selbst anzumelden.
Besonders zeitkritisch sind laut Varonis Inhalte im Posteingang: Einmalcodes, MFA-Codes und Links zum Zurücksetzen von Passwörtern, die oft noch einige Minuten gültig sind. Darüber hinaus lassen sich auch Kalendereinladungen, Besprechungsnotizen sowie in SharePoint oder OneDrive indexierte Dateien erreichen. Varonis nennt als Beispiele Gehaltsdaten, Ertragszahlen und Übernahmepläne.
Für Varonis ist SearchLeak nicht der erste Nachweis dieses Musters. Der Varonis-Forscher Dolev Taler hatte die gleiche Ein-Klick-Technik bereits bei einem früheren Reprompt-Angriff auf Copilot Personal demonstriert. Ein ähnliches Muster zeigte sich zudem bei EchoLeak, der Zero-Click-Datenleck-Schwachstelle CVE-2025-32711, die Aim Security 2025 offengelegt hatte. SSRF und Race Conditions bei der Bereinigung seien alte Fehlerklassen; neu sei die Prompt-Injektion, die sie wieder erreichbar mache.
Microsoft hat die Schwachstelle serverseitig entschärft. Da Copilot Enterprise ein verwalteter Dienst ist, können Mandantenadministratoren die betroffenen Komponenten laut Quelltext weder selbst patchen noch umkonfigurieren. Beobachten können sie nach Angaben von Varonis aber weiterhin Copilot-Such-URLs mit kodierten Nutzlasten oder HTML im q-Parameter sowie ungewöhnliche ausgehende Anfragen an Bings Bild-Endpunkte. Außerdem lasse sich durch restriktivere Regeln für den Datenzugriff begrenzen, was Copilot überhaupt indiziert.