返回
快讯

Microsoft 365 Copilot 一键泄露漏洞已缓解

Varonis Threat Labs 指出,攻击者可借助 Microsoft 365 Copilot Enterprise Search 的三项漏洞链,在受害者单击可信的 microsoft.com 链接后窃取邮件、日历信息和已索引文件,并可能获取 MFA codes。微软已在后端缓解该问题;管理员可监控异常 Copilot 搜索参数与 Bing 图片端点外连。

CVE-2026-42824CVE-2025-32711

单击一个可信的 Microsoft 链接,攻击者就可能从 Microsoft 365 Copilot Enterprise Search 中拉取邮件、日历详情和已索引文件。

Varonis Threat Labs 的研究人员将三个漏洞串联成一条一键式数据外泄路径,并将其命名为 SearchLeak。由于该链接指向真实的 microsoft.com 域名,传统反钓鱼和 URL 过滤工具不太可能将其标记出来。

无需提示、无需密码、无需第二次点击。Microsoft 为其分配了 CVE-2026-42824,并将其标记为 critical;CVSS 分数则较低且不一致,Microsoft 给出 6.5,National Vulnerability Database 给出 7.5。该公司已在后端缓解了这个缺陷,因此客户无需担心;Varonis 展示的是 proof-of-concept,并未观察到实际利用。

三个漏洞,一次点击

Microsoft 的公告将该缺陷描述为一个可通过网络暴露信息的 command injection。实际上,SearchLeak 将一个 AI 特有的弱点叠加在两个旧的 web 漏洞之上,而且每个链接都是下一个链接成立的前提。

入口点是 Copilot Enterprise Search URL 中的 q 参数。它本来用于自然语言查询,但 Copilot 会把其中的内容当作指令来读取,而不仅仅是搜索字符串。

Varonis 将这一点称为 Parameter-to-Prompt injection。攻击者编写一个 URL,指示 Copilot 搜索邮箱、取出一封邮件标题,并把它放进一个 image URL 中。受害者无需输入任何内容,只要点击,Copilot 就会执行。

下一步是响应渲染过程中的 race condition。Microsoft 的 guardrail 会用 <code> 标签包裹 Copilot 输出,让浏览器把标记当作文本处理。问题在于时序:包装发生在 Copilot 生成完成之后,但浏览器会在内容流入时立即渲染。被注入的 <img> 标签会先被绘制并发出请求,然后 sanitizer 才运行。等输出被中和时,请求已经发出去了。

最后一环是让数据绕过页面的 Content Security Policy。m365.cloud.microsoft 上的 CSP 会阻止图片从任意域名加载,但它允许 *.bing.com。Bing 的 “Search by Image” 端点接受一个 image URL,并在服务器端抓取它进行分析。只要把这个抓取目标指向攻击者的服务器,并把窃取到的文本编码进路径中,Bing 就会去取回它。由于请求来自 Bing 的基础设施,浏览器的 CSP 根本不会生效。Bing 成了外泄代理,CSP allowlist 则起到了掩护作用。

合起来就是:受害者点击,Copilot 搜索其数据,响应将某个值(例如邮件主题)嵌入 Bing image URL,浏览器在流式传输期间调用 Bing,随后 Bing 拉取攻击者的 URL。攻击者从自己的日志中读到这条请求,例如 /Your_Security_Code_847291/img.png。

攻击者能拿到什么

Copilot Enterprise 能访问登录用户通过其 Microsoft Graph 权限可访问的内容,而攻击者无需登录就能继承这种访问范围。

最紧迫的目标在收件箱里:一次性代码、MFA codes 和密码重置链接,通常在几分钟内仍然有效。在窗口期内用脚本从日志里把这些信息取走,攻击者就能在无人察觉前接管账户。

同样的访问权限也能触及日历邀请、会议纪要,以及任何已被 Copilot 索引的 SharePoint 或 OneDrive 文件,其中可能包含薪资数据、财务业绩数字和并购计划。

SearchLeak 是 Varonis 第二次展示这种模式。Varonis 研究员 Dolev Taler 早前在针对 Copilot Personal 的 Reprompt 攻击中演示过同样的一键技术,而它在 Enterprise Search 中依然成立,尽管该层级本应实施额外的 guardrails。

同样的模式也出现在 EchoLeak(CVE-2025-32711)中,这是 Aim Security 在 2025 年披露的 zero-click Copilot data-leak 漏洞。SSRF 和 sanitizer race 都是旧的漏洞类别;prompt injection 才是新的部分,它让这些旧问题重新变得可达。

Microsoft 已在后端缓解了这个缺陷,而且由于 Copilot Enterprise 是一项托管服务,租户管理员无法修补或重新配置出问题的部分。他们能做的,是监控并进行遏制。

应关注 Copilot Search URLs 中带有编码 payload 或 HTML 的 q 参数,以及指向 Bing image endpoints 的异常外发请求。收紧 data-access governance,让 Copilot 索引更少内容,这样未来即使发生泄露,攻击面也会更小。