Laut Varonis Threat Labs beginnt der Angriff damit, dass ein Angreifer dem Opfer über einen beliebigen Kanal einen Copilot-Link zusendet, etwa per E-Mail oder Slack. Dieser Link öffnet Microsoft 365 Copilot Search und ist so aufgebaut, dass die Suche den im Parameter „q“ hinterlegten Prompt übernimmt. Dadurch kann ein schädlicher Prompt an Enterprise Copilot übergeben werden, den das System interpretiert und ausführt.

Die Forscher beschreiben als Beispiel einen Prompt, der Copilot anweist, nach einer bestimmten empfangenen E-Mail zu suchen, etwa mit einem Multifaktor-Authentifizierungscode, und die angeforderten Informationen in eine Adresse einzubauen, die Daten an einen vom Angreifer kontrollierten Server übermittelt. Auf diese Weise konnten Angreifer nach Darstellung von Varonis unter anderem Betreffzeilen und Inhalte von E-Mails, Sicherheitscodes, Links zum Zurücksetzen von Passwörtern, Besprechungsdetails sowie private, von Copilot indexierte Organisationsdateien erhalten.

Varonis zufolge hätten Schutzmechanismen einige Varianten des Angriffs zwar blockiert, der Umweg über ein Bild-Tag innerhalb eines Bing-Links zur Bildersuche habe diese Hürden aber umgangen. Dolev Taler, Sicherheitsforscher bei Varonis Threat Labs, erklärt im Blog des Unternehmens, dass hier zwei Faktoren zusammenkommen: Zum einen erzeuge das Bild-Tag eine Race Condition, durch die die KI-Antwort ausgelöst werde, bevor Microsoft den Prompt bereinigen könne. Zum anderen spiele die Art eine Rolle, wie Bing bestimmte Anfragen verarbeitet.

Taler beschreibt den Mechanismus so: Wenn dieser Endpunkt eine Anfrage erhalte, führe das Bing-Backend serverseitig einen Abruf der Bild-URL durch, um das Bild zu analysieren. Dieser Abruf stamme aus der Bing-Infrastruktur und nicht aus dem Browser des Opfers. Die Content Security Policy des Browsers sei für serverseitige Anfragen daher unerheblich. Weil Bing eine Microsoft-Suchmaschine ist, ist der Dienst laut Varonis auf einer Freigabeliste und konnte deshalb in diesem Prompt verwendet werden, wo andere Websites womöglich blockiert worden wären.

Microsoft hat die Schwachstelle inzwischen behoben. Das Unternehmen führt sie als CVE-2026-42824 und stuft sie als kritisch ein, obwohl der CVSS-Wert bei 6,5 liegt. Weitere Schritte für Nutzer seien nicht nötig. Dark Reading hat Microsoft um eine zusätzliche Stellungnahme gebeten.

Für Dor Yardeni, Director of Security Research bei Varonis, reicht die Bedeutung von SearchLeak über einen Einzelfall hinaus. Gegenüber Dark Reading sagte er, es handle sich um „eine breitere Klasse von Risiken in LLM-gestützten Unternehmensassistenten, insbesondere solchen, die externe Eingaben wie Links oder Prompts mit internem Datenzugriff und Aktionsmöglichkeiten kombinieren“. Jedes System, das Prompt-Injection, Datenabruf und die Darstellung von Ausgaben im selben Ablauf erlaube, könne auf ähnliche Weise missbraucht werden.

Yardeni sieht die Hauptverantwortung bei solchen Problemen vor allem beim Plattformanbieter. Diese Angriffe nutzten Vertrauensgrenzen, Darstellungsverhalten und Sicherheitskontrollen aus, die bereits im Design durchgesetzt werden müssten, etwa durch Prompt-Isolation, Bereinigung von Ausgaben und die Durchsetzung von Content Security Policy. Zugleich hätten auch Organisationen eine Rolle, indem sie unnötige Datenfreigaben minimieren und KI-Systeme als Teil ihrer Angriffsfläche behandeln.