Microsoft beschreibt CVE-2026-42824 in seinem Sicherheitshinweis als Befehlsinjektion, durch die sich Informationen über ein Netzwerk offenlegen lassen. In der von Varonis beschriebenen praktischen Ausnutzung besteht SearchLeak aus einer KI-spezifischen Schwäche und zwei älteren Web-Sicherheitsfehlern, die aufeinander aufbauen.
Der Einstiegspunkt ist der Parameter q in der URL von Copilot Enterprise Search. Eigentlich ist er für natürlichsprachige Suchanfragen gedacht. Laut Varonis interpretiert Copilot die dort hinterlegten Inhalte jedoch nicht nur als Suchtext, sondern als Anweisungen. Die Forscher bezeichnen das als Parameter-zu-Prompt-Injektion. Ein Angreifer kann so eine URL erzeugen, die Copilot anweist, etwa ein Postfach zu durchsuchen, einen E-Mail-Betreff zu entnehmen und diesen in eine Bild-URL einzubauen. Die angegriffene Person muss nichts eingeben; der Klick genügt.
Die zweite Komponente ist eine Race Condition bei der Darstellung der Antwort. Microsoft versieht Copilot-Ausgaben laut Varonis mit code-Blöcken, damit der Browser eingebettetes Markup als Text behandelt. Entscheidend ist jedoch das Timing: Diese Absicherung greift erst, nachdem Copilot die Ausgabe vollständig erzeugt hat, während der Browser den Datenstrom schon während der Übertragung rendert. Ein eingeschleustes img-Tag kann deshalb angezeigt werden und eine Anfrage auslösen, bevor die Bereinigung erfolgt. Wenn die Ausgabe später neutralisiert wird, ist die Anfrage bereits abgesendet.
Die dritte Stufe umgeht die Content Security Policy der Seite m365.cloud.microsoft. Diese Richtlinie blockiert Bilder von beliebigen Domains, lässt aber laut Varonis *.bing.com zu. Bing bietet mit „Suche per Bild“ einen Endpunkt, der eine Bild-URL akzeptiert und die Datei serverseitig abruft, um sie zu analysieren. Zeigt diese URL auf einen Server des Angreifers und enthält der Pfad den abgegriffenen Text, ruft Bing diese Adresse ab. Die Browser-Richtlinie greift in diesem Fall nicht, weil die Anfrage aus der Bing-Infrastruktur kommt. Varonis beschreibt Bing deshalb als Ausleitungs-Proxy.
Im Ablauf bedeutet das: Das Opfer klickt auf den Link, Copilot durchsucht die Daten des angemeldeten Nutzers, die Antwort bettet etwa einen E-Mail-Betreff in eine Bing-Bild-URL ein, der Browser kontaktiert Bing während des Streamings, und Bing ruft die URL des Angreifers ab. Der Angreifer kann die Information dann in den eigenen Protokollen sehen, etwa in einer Anfrage wie /Your_Security_Code_847291/img.png.
Besonders zeitkritisch sind laut Varonis Inhalte im Posteingang wie Einmalcodes, MFA-Codes und Links zum Zurücksetzen von Passwörtern, die oft nur wenige Minuten gültig sind. Copilot Enterprise kann über den Microsoft-Graph-Zugriff alles erreichen, worauf auch der angemeldete Nutzer zugreifen darf. Dazu zählen nach Angaben der Forscher auch Kalendereinladungen, Besprechungsnotizen sowie in SharePoint oder OneDrive abgelegte und von Copilot indizierte Dateien.
SearchLeak ist bereits das zweite Mal, dass Varonis dieses Muster demonstriert. Der Varonis-Forscher Dolev Taler hatte eine ähnliche Ein-Klick-Technik zuvor im Reprompt-Angriff auf Copilot Personal gezeigt. Verwandte Muster sahen Forscher auch bei EchoLeak, der von Aim Security offengelegten Zero-Click-Datenleck-Lücke CVE-2025-32711 in Copilot. Laut Varonis sind SSRF und Race Conditions bei Bereinigungsmechanismen bekannte Fehlerklassen; neu ist hier die Prompt-Injektion als Weg, sie wieder erreichbar zu machen.
Microsoft hat die Schwachstelle im Backend behoben. Varonis rät dazu, nach Copilot-Such-URLs mit kodierten Nutzlasten oder HTML im q-Parameter sowie nach ungewöhnlichen ausgehenden Anfragen an Bings Bild-Endpunkte Ausschau zu halten. Außerdem empfehlen die Forscher eine restriktivere Steuerung des Datenzugriffs, damit Copilot weniger Inhalte indiziert.