Een serie van drie beveiligingslekken maakte het mogelijk om zakelijke mails in te zien door gebruikers te laten klikken op een link die leidt naar Microsoft.com. De exploit gebruikt de zoekfunctie van Copilot en de afbeeldingenzoeker van Bing.
Beveiligingsbedrijf Varonis noemt het lek SearchLeak en het CVE-nummer is 2026-42824. Als gebruikers op een link naar Microsoft.com klikten, kon de parameter in de URL een opdracht zijn voor Copilot Enterprise Search, de zakelijke zoekfunctie die onder meer toegang heeft tot e-mails en documenten. Copilot voerde de opdracht meteen uit en zocht in onder meer zakelijke e-mails.
Voor de exploit bevatte de URL de opdracht om de onderwerpregels van e-mails te nemen en daar een afbeelding van te maken. Tijdens het genereren van het antwoord kwamen de afbeelding en html tijdelijk in het Document Object Model te staan voordat Copilot het hele antwoord in een codeblok zette.
Vervolgens stuurde Copilot een verzoek naar de omgekeerde afbeeldingenzoeker van Bing. Omdat Bing ook van Microsoft is, mag Copilot dat in een zakelijke omgeving. In de serverlogs van de aanvaller verschijnt vervolgens de inhoud van de mail als naam van de afbeelding, bijvoorbeeld 'jouwbeveiligingscodeis1337.jpg'. Microsoft heeft het lek gedicht en zakelijke klanten hoeven niets te doen. De aanval is nu niet langer mogelijk. Of deze kwetsbaarheid is misbruikt, vermeldt Microsoft niet.
Beveiligingsonderzoekers, hackers en kwaadwillenden hebben altijd aandacht voor software die toegang heeft tot privégegevens, omdat zwakke plekken daarin toegang geven tot gevoelige data. Zo kwam onlangs naar buiten dat Meta AI kwaadwillenden toegang gaf tot tienduizenden Instagram-accounts. Waar dat ging om simpele instructies aan een chatbot, is deze exploit iets geavanceerder. Vaak maken exploits gebruik van meerdere lekken om data los te krijgen uit een ogenschijnlijk goed beveiligd systeem.
Source: Tweakers.net