SearchLeak un solo clic trasformava Microsoft 365 Copilot in uno strumento di esfiltrazione

SearchLeak: un solo clic trasformava Microsoft 365 Copilot in uno strumento di esfiltrazione

A cura di:Redazione Ore

I ricercatori di Varonis Threat Labs hanno dimostrato come un singolo clic su un link ospitato su un dominio Microsoft autentico potesse trasformare Microsoft 365 Copilot Enterprise Search in un canale di furto dati silenzioso. La catena di attacco, battezzata SearchLeak, è stata corretta da Microsoft sul proprio backend e identificata come CVE-2026-42824, classificata critica dal vendor. Non c’è quindi alcuna azione di patching richiesta ai clienti, ma il caso ridefinisce il modello di minaccia degli assistenti AI in ambito enterprise e merita attenzione strategica.

La dinamica è quella che gli analisti iniziano a riconoscere come ricorrente: la prompt injection riapre classi di vulnerabilità web che si davano per superate. SearchLeak impila infatti una debolezza specifica dell’AI su due bug classici, e ogni anello serve al successivo.

Tre bug, un clic

Il punto di ingresso è il parametro q nell’URL di Copilot Enterprise Search, pensato per ospitare una query in linguaggio naturale. Copilot però interpreta quel contenuto come istruzioni, non come semplice stringa di ricerca: Varonis chiama questa tecnica parameter-to-prompt injection. Un attaccante costruisce un URL che ordina a Copilot di cercare nella casella di posta, prelevare il titolo di un’email e collocarlo dentro l’URL di un’immagine. La vittima non digita nulla; clicca, e l’assistente esegue.

Il secondo anello è una race condition nel rendering della risposta. Il guardrail di Microsoft incapsula l’output di Copilot in blocchi di codice perché il browser lo tratti come testo, ma la sanitizzazione avviene dopo la generazione, mentre il browser disegna lo streaming man mano che arriva. Il tag img iniettato viene quindi reso, e invia la sua richiesta, prima che il filtro entri in azione.

Il terzo anello supera la Content Security Policy della pagina. La CSP su m365.cloud.microsoft blocca le immagini da domini arbitrari, ma include in allowlist *.bing.com. L’endpoint Search by Image di Bing accetta l’URL di un’immagine e lo recupera lato server: puntando quel recupero verso il server dell’attaccante, con il testo rubato codificato nel percorso, Bing diventa il proxy di esfiltrazione e la CSP non si applica mai, perché la richiesta parte dall’infrastruttura di Bing.

Cosa ottiene un attaccante

Copilot Enterprise può raggiungere tutto ciò a cui accede l’utente autenticato, attraverso il suo accesso a Microsoft Graph, e l’attaccante eredita quella portata senza mai effettuare il login. Il bottino più sensibile al tempo è nella posta: codici monouso, codici MFA e link di reset password, spesso ancora validi per pochi minuti, sufficienti a prendere il controllo di un account prima che qualcuno se ne accorga. Lo stesso accesso arriva a inviti del calendario, note di riunione e qualsiasi file SharePoint o OneDrive indicizzato da Copilot, dove vivono dati salariali, cifre di bilancio e piani di acquisizione.

Va precisato, per correttezza: Microsoft cataloga formalmente la falla come M365 Copilot Information Disclosure Vulnerability, tecnicamente una command injection (neutralizzazione impropria di elementi speciali usati in un comando). I punteggi CVSS divergono, 6,5 secondo Microsoft e 7,5 secondo il National Vulnerability Database, e Varonis ha presentato una proof-of-concept, non uno sfruttamento osservato in the wild. La coesistenza dell’etichetta “critical” con un base score di 6,5 non è una contraddizione: la prima appartiene alla severity proprietaria del vendor, il secondo ricade in fascia “Medium” sulla scala CVSS standard. Le due metriche misurano cose diverse, e leggerle insieme è più informativo che sintetizzarle.

Perché conta per chi difende

SearchLeak non è un caso isolato, anche se i precedenti non vanno appiattiti. La famiglia di problema è la stessa: la prompt injection riattiva classi di bug web vecchie come SSRF e race nei sanitizzatori. Cambiano però i meccanismi. EchoLeak (CVE-2025-32711, divulgata nel 2025 da Aim Security) era un attacco zero-click, innescato via email malevola con la tecnica LLM Scope Violation e un punteggio CVSS di 9,3, e non passava né dalla SSRF di Bing né dalla race condition descritta qui. SearchLeak è invece one-click via URL. Lo stesso schema one-click era già stato mostrato da Varonis con l’attacco Reprompt contro Copilot Personal, e ha retto contro Enterprise Search nonostante i guardrail aggiuntivi che quel livello dovrebbe imporre.

Poiché Copilot Enterprise è un servizio gestito, gli amministratori di tenant non possono correggere o riconfigurare le componenti che hanno ceduto: possono però monitorare e contenere. Le indicazioni operative sono concrete: cercare URL di Copilot Search che trasportano payload codificati o HTML nel parametro q, e segnalare richieste in uscita anomale verso gli endpoint immagine di Bing. Tra le leve di contenimento c’è anche restringere la data governance perché Copilot indicizzi di meno, riducendo ciò che qualsiasi fuga futura potrebbe raggiungere: è una delle opzioni, non la soluzione, e va pesata contro l’utilità che si chiede all’assistente.

La lezione di fondo, per i lettori B2B, è che la superficie d’attacco degli assistenti AI non si misura sulle credenziali, ma sui privilegi ereditati: un agente utile abbastanza da leggere la posta e i file aziendali è, per costruzione, un agente che si fida degli input e vuole essere d’aiuto. È lo stesso nodo che ricorre nel furto dati tramite catene di esfiltrazione: la fiducia è la funzione, non il difetto.

Condividi sui Social Network:

Ultimi Articoli