Una singola URL costruita ad arte poteva trasformare Microsoft 365 Copilot in uno strumento per rubare dati riservati con un solo clic. È questo il cuore di SearchLeak, una catena di vulnerabilità giudicata critica che colpiva la versione Enterprise dell’assistente, mettendo a rischio caselle di posta, file su OneDrive e account SharePoint senza che la vittima dovesse digitare nulla.
I dati che potevano finire nelle mani sbagliate erano parecchi. Si parla del contenuto delle email, quindi anche codici di accesso e password, ma pure eventi del calendario, dettagli sulle riunioni, documenti e qualsiasi altro materiale raggiungibile tramite la ricerca di Copilot Enterprise. Microsoft è intervenuta all’inizio del mese, assegnando alla falla l’identificativo CVE-2026-42824 e classificandola con il livello di gravità massimo.
Come funzionava l’attacco in tre fasi
A scoprire e costruire SearchLeak sono stati i ricercatori di Varonis, azienda specializzata nella sicurezza dei dati aziendali. Il punto interessante è che nessuna delle tre falle, presa singolarmente, sarebbe bastata a combinare granché. Il problema nasceva mettendole insieme. La catena univa una prompt injection tramite parametro, una race condition nel rendering HTML e un aggiramento delle protezioni CSP reso possibile da un Server Side Request Forgery su Bing.
La prima fase sfruttava il modo in cui Microsoft 365 Copilot Search accetta il parametro ‘q’ nell’URL per le query di ricerca. A differenza del Copilot classico, che genera contenuti, la versione Enterprise Search va a pescare dati aziendali tra email, riunioni, file SharePoint e OneDrive. In pratica un attaccante preparava un link che diceva a Copilot di cercare nelle email dell’utente, estrarre un titolo e incorporarlo nell’URL di un’immagine. La vittima non scriveva niente, cliccava e basta. Al resto pensava l’assistente.
Nella seconda fase entrava in gioco una race condition nel rendering HTML. In poche parole, il codice HTML grezzo veniva mostrato per un istante dal browser prima di essere chiuso dentro i blocchi che lo avrebbero neutralizzato durante lo streaming dell’output. Quella manciata di millisecondi bastava a far partire richieste verso l’esterno con un tag immagine controllato dall’attaccante.
La terza parte della catena era un Server Side Request Forgery nascosto nella funzione “Search by Image” di Bing, usata per recuperare un’immagine dall’endpoint dell’attaccante. Siccome a fare la richiesta era Bing, la protezione CSP veniva semplicemente scavalcata. I dati rubati, ormai infilati nell’URL, finivano nei log delle richieste del server controllato dai criminali. Bing diventava così un proxy inconsapevole per l’esfiltrazione, un classico SSRF mimetizzato dietro una voce della allowlist CSP.
Cosa vedeva la vittima e perché preoccupa
Mettendo tutto in fila, l’attacco partiva con il clic su un link costruito apposta, che avviava Microsoft 365 Copilot Search con le istruzioni nascoste nel parametro ‘q’. Da lì veniva generata una risposta con il tag immagine, con dentro le informazioni sottratte. Mentre la risposta scorreva sullo schermo, il browser caricava l’immagine e mandava la richiesta a Bing, che recuperava l’URL dell’attaccante portandosi dietro i dati.
Dal punto di vista di chi usava il servizio non c’era nessun campanello d’allarme. L’unica cosa visibile era Copilot che sembrava “pensare” per qualche istante, niente di più. Nessun segnale che i dati stessero uscendo.
Con la correzione di CVE-2026-42824 già rilasciata da Microsoft, non serve alcun intervento da parte degli utenti per essere al sicuro. Varonis sottolinea però un punto che fa riflettere. Bug ormai noti e di solito facili da contenere, come SSRF e race condition nell’iniezione HTML, possono diventare armi potenti nel momento in cui entra in gioco la prompt injection. I sistemi di intelligenza artificiale, in sostanza, hanno aperto nuove strade per sfruttare vecchie categorie di vulnerabilità in contesti dove prima avrebbero avuto un impatto molto più limitato.