Varonis zufolge basiert SearchLeak auf der Verkettung von drei Schwachstellen, die einzeln keine ähnlich wirksame Attacke ermöglicht hätten. Im ersten Schritt wird eine Parameter-zu-Prompt-Injection ausgenutzt. Dabei missbraucht der Angriff, wie Microsoft 365 Copilot Search den URL-Parameter „q“ für Suchanfragen verarbeitet.

Anders als der reguläre Copilot, der Inhalte erzeugt, durchsucht Microsoft Copilot Enterprise Search Unternehmensdaten in E-Mails, Besprechungen, SharePoint-Dateien und OneDrive. Laut Varonis kann ein Angreifer eine URL so bauen, dass Copilot angewiesen wird, die E-Mails des Nutzers zu durchsuchen, den Betreff zu extrahieren und in eine Bild-URL einzubetten. Der Nutzer müsse nichts eingeben, ein Klick auf den Link genüge.

Auf diese Weise ließ sich nach Angaben der Forscher ein Link erstellen, der Copilot konkrete Anweisungen zur Ausführung mitgab, etwa das Durchsuchen des Postfachs des Opfers und die Formatierung der Ergebnisse in einer bestimmten Form. Im zweiten Schritt folgt eine Race Condition bei der HTML-Darstellung: Während Copilot seine Ausgabe gestreamt ausliefert, rendert der Browser rohes HTML kurzzeitig, bevor es in neutralisierte -Blöcke eingeschlossen wird.

Dadurch konnte vom Angreifer kontrolliertes HTML mit einem -Tag ausgeführt werden und ausgehende Anfragen auslösen, bevor die Bereinigung abgeschlossen war. Der dritte Baustein der Kette ist laut Varonis eine SSRF-Schwachstelle in Bings Funktion „Search by Image“. Diese wird genutzt, um eine Anfrage zum Abruf eines Bildes vom Endpunkt des Angreifers auszulösen.

Weil Bing diese Anfrage stellt, wird in diesem Fall zum Abruf von Inhalten, die Copilot analysieren soll, der Schutz durch die Content-Security-Policy umgangen. Die abgegriffenen Daten werden dabei in die URL eingebettet, sodass der Angreifer sie in den Anfragelogs seines Servers auslesen kann. Varonis beschreibt Bing in diesem Zusammenhang als unbeabsichtigten Proxy für den Datenabfluss – eine klassische SSRF, verborgen hinter einem Eintrag auf der Erlaubnisliste der Content-Security-Policy.

Im Ablauf beginnt der Angriff mit dem Klick des Opfers auf einen präparierten Link. Dieser startet Microsoft 365 Copilot Search mit Anweisungen im Parameter „q“, um das Postfach oder andere Datenquellen des Opfers zu durchsuchen. Anschließend erzeugt Copilot eine Antwort mit einem Bild-Tag, das die abgegriffenen Informationen in der URL enthält.

Während die Antwort noch gestreamt wird, rendert der Browser das Bild und sendet eine Anfrage an Bing, das wiederum die URL des Angreifers inklusive der entwendeten Daten abruft. Aus Sicht des Opfers ist laut Bericht lediglich zu sehen, dass Copilot kurz „nachdenkt“; ein Hinweis auf den Datenabfluss fehlt.

Microsoft hat CVE-2026-42824 inzwischen behoben. Nach der Korrektur ist laut Bericht keine Aktion der Nutzer erforderlich, um die Gefahr abzuwehren. Varonis betont, dass bekannte und normalerweise leichter beherrschbare Fehlerklassen wie SSRF und HTML-Injection-Race-Conditions durch Prompt-Injection in deutlich wirksamere Angriffe verwandelt werden können.