Im Zentrum von SearchLeak steht Microsoft 365 Copilot Search. Anders als der reguläre Copilot, der Inhalte erzeugt, durchsucht Copilot Enterprise Search Unternehmensdaten in E-Mails, Besprechungen, SharePoint-Dateien und OneDrive. Laut Varonis nutzte die Angriffskette aus, wie Microsoft 365 Copilot Search den URL-Parameter „q“ für Suchanfragen verarbeitet.

In der ersten Phase missbrauchten die Forscher eine Schwäche vom Typ Parameter-zu-Prompt-Injektion. Darüber ließ sich ein Link bauen, der Copilot Anweisungen mitgab, etwa das Postfach des Opfers zu durchsuchen und die Ergebnisse in einem bestimmten Format auszugeben. Varonis beschreibt das so: „Um die Daten auszuleiten, erstellt ein Angreifer eine URL, die Copilot anweist, die E-Mails des Nutzers zu durchsuchen, den Betreff zu extrahieren und ihn in eine Bild-URL einzubetten. Das Opfer tippt nichts ein. Es klickt auf einen Link, und Copilot erledigt den Rest.“

Die zweite Stufe der Kette beruhte auf einer Race Condition bei der HTML-Darstellung. Während Copilot seine Ausgabe schrittweise ausliefert, wird rohes HTML dem Bericht zufolge kurzfristig im Browser gerendert, bevor es in neutralisierte „code“-Blöcke eingefasst wird. Dadurch konnte von Angreifern kontrolliertes HTML mit einem „img“-Tag noch vor Abschluss der Bereinigung ausgeführt werden und ausgehende Anfragen auslösen.

Die dritte Komponente war nach Angaben von Varonis eine SSRF-Schwäche in Bings Funktion „Search by Image“. Diese wurde genutzt, um eine Anfrage zum Abruf eines Bildes vom Server des Angreifers auszulösen. Weil in diesem Fall Bing die Anfrage stellt, wurde die Content-Security-Policy umgangen. Varonis fasst den Effekt so zusammen: „Bing wird zu einem unbeabsichtigten Proxy für die Datenausleitung. Eine klassische SSRF, gut sichtbar versteckt hinter einem Eintrag in der CSP-Zulassungsliste.“

Im Ablauf startet der Angriff mit einem Klick auf den präparierten Link. Dieser öffnet Microsoft 365 Copilot Search mit Anweisungen im „q“-Parameter, um das Postfach des Opfers oder andere Datenquellen zu durchsuchen. Anschließend erzeugt Copilot eine Antwort mit einem Bild-Tag, in dessen URL die abgegriffenen Informationen eingebettet sind.

Während die Antwort noch übertragen wird, rendert der Browser das Bild und schickt eine Anfrage an Bing. Bing ruft daraufhin die URL des Angreifers ab — samt der eingebetteten Daten. Der Angreifer kann diese Informationen anschließend in den Request-Logs seines Servers auslesen. Aus Sicht des Opfers ist laut Bericht lediglich zu sehen, dass Copilot kurz „nachdenkt“; ein Hinweis auf den Datenabfluss erscheint nicht.

Microsoft hat CVE-2026-42824 inzwischen behoben. Zusätzliche Maßnahmen auf Nutzerseite sind laut Bericht zur Abwehr dieser Bedrohung nicht erforderlich. Varonis betont, dass sich bekannte und normalerweise leichter einzugrenzende Fehlerklassen wie SSRF und HTML-Injektions-Race-Conditions in Kombination mit Prompt-Injektion zu deutlich schlagkräftigeren Angriffen verbinden lassen. KI-Systeme eröffneten damit neue Wege, ältere Schwachstellenklassen in Kontexten auszunutzen, in denen sie zuvor weit weniger folgenschwer gewesen wären.