SearchLeak (CVE-2026-42824) : un clic transforme M365 Copilot en proxy d'exfiltration
Varonis a publié le 15 juin 2026 les mécanismes de CVE-2026-42824 : un lien microsoft.com piégé enchaîne injection de prompt, course au rendu HTML et SSRF Bing pour voler mails et codes MFA. Corrigé côté serveur.
De quoi s’agit-il ?
Le 15 juin 2026, Varonis Threat Labs a publié les mécanismes d’exploitation derrière CVE-2026-42824, une faille de divulgation d’informations dans Microsoft 365 Copilot Enterprise Search qu’ils ont baptisée SearchLeak. Lorsque Microsoft a publié la CVE lors de son Patch Tuesday de juin, il n’a donné que la classe de faiblesse et l’impact ; nous l’avions signalée à l’époque en notant que les mécanismes restaient masqués. Varonis comble désormais ce vide avec une preuve de concept documentée.
Résultat : un simple clic sur un lien pointant vers un véritable domaine microsoft.com pouvait exfiltrer les e-mails de la victime, ses entrées d’agenda, ses comptes rendus de réunion et les fichiers SharePoint/OneDrive indexés — y compris les codes à usage unique et codes MFA présents dans sa boîte mail — sans aucune invite à l’utilisateur ni seconde interaction. Microsoft lui a attribué une criticité « critique » ; les scores CVSS divergent (6,5 chez Microsoft, 7,5 chez le NVD). Microsoft a corrigé la faille côté serveur début juin 2026, et Varonis ne rapporte qu’une PoC, sans exploitation observée dans la nature.
Comment ça marche
SearchLeak est intéressant précisément parce qu’aucune de ses briques n’est inédite. Il enchaîne une faiblesse propre à l’IA sur deux bugs web classiques, chaque maillon rendant le suivant possible.
- Injection paramètre-vers-prompt (P2P). Copilot Enterprise Search lit son paramètre d’URL
q— prévu pour une requête en langage naturel — comme des instructions et non comme une chaîne de recherche. Un lien piégé peut donc ordonner à Copilot de fouiller la boîte mail de l’utilisateur connecté, de prélever un champ tel qu’un objet d’e-mail et de l’insérer dans une URL d’image. La victime ne tape rien ; cliquer sur le lien suffit. - Course au rendu HTML. Le garde-fou de Microsoft enveloppe la sortie de Copilot dans des blocs
<code>pour que le balisage s’affiche en texte inerte. Mais cet emballage est appliqué après la génération, alors que le navigateur rend le flux au fur et à mesure. Une balise<img>injectée est dessinée et déclenche sa requête avant que l’assainisseur ne s’exécute. - Contournement de CSP via SSRF Bing. La Content-Security-Policy de
m365.cloud.microsoftbloque les images de domaines arbitraires mais autorise*.bing.com. Le point de terminaison « Search by Image » de Bing accepte une URL d’image et la récupère côté serveur. Pointé vers un serveur attaquant avec le texte volé encodé dans le chemin, Bing le récupère — et comme la requête provient de l’infrastructure de Bing, la CSP du navigateur ne s’applique jamais. Bing devient un proxy d’exfiltration involontaire.
Mis bout à bout : la victime clique, Copilot fouille ses données, la réponse en flux insère une valeur comme un objet d’e-mail dans une URL d’image Bing, le navigateur appelle Bing en plein flux, et Bing va chercher l’URL de l’attaquant. Celui-ci lit le secret dans les journaux de son propre serveur. Du côté de la victime, elle ne voit que Copilot « réfléchir » un instant. Aucun payload n’est reproduit ici ; aucun n’est nécessaire pour comprendre la leçon.
Pourquoi c’est important
Copilot Enterprise peut atteindre tout ce que l’utilisateur connecté peut atteindre via son accès Microsoft Graph, et SearchLeak permet à un attaquant d’hériter de cette portée sans jamais s’authentifier. La cible la plus précieuse est la boîte de réception : codes à usage unique, codes MFA et liens de réinitialisation de mot de passe restent souvent valides quelques minutes, assez pour scripter une prise de contrôle de compte avant que quiconque ne s’en aperçoive. Le même accès touche agendas, comptes rendus de réunion et tout fichier indexé contenant données salariales, chiffres de résultats ou plans d’acquisition.
Le point structurel est celui que Varonis souligne : l’injection de prompt réanime de vieilles classes de bugs normalement contenues. SSRF et courses d’assainissement ont des décennies et sont d’ordinaire à faible impact ; la nouvelle primitive d’injection P2P les rend exploitables dans un contexte où, soudain, elles ne le sont plus. C’est la même forme qu’EchoLeak (CVE-2025-32711) en 2025 et que la technique Reprompt antérieure contre Copilot Personal, et cela fait écho à nos analyses de CoPirate 365 et de ShareLeak dans Copilot Studio. C’est aussi la trifecta létale en production : données privées, contenu non fiable et canal sortant, le tout dans un seul tour.
Défenses
SearchLeak est corrigé côté serveur, et comme Copilot Enterprise est un service géré, les administrateurs de tenant ne peuvent pas corriger les composants défaillants. Ce que vous pouvez faire, c’est détecter et réduire le rayon d’impact :
- Surveillez la signature d’injection. Guettez les URL Copilot Search contenant des payloads encodés ou du HTML dans le paramètre
q, et les requêtes sortantes inhabituelles vers les points de terminaison d’images Bing corrélées aux sessions Copilot. - Réduisez ce que Copilot peut indexer. Renforcez la gouvernance des accès aux données et appliquez le moindre privilège aux connecteurs et sites indexés par Copilot — chaque fichier qu’il ne voit pas est un fichier qu’une fuite future ne peut atteindre.
- Traitez la sortie du modèle comme une entrée non fiable en aval. La cause racine est du balisage issu d’une réponse LLM agissant sur un sink navigateur avant neutralisation. Sur le plan architectural, rendre-puis-assainir est dangereux ; assainissez avant qu’un token diffusé ne puisse déclencher une requête, et restreignez les allowlists CSP (un domaine autorisé doté d’une primitive de fetch SSRF est un canal d’exfiltration).
- Diminuez la valeur des secrets volés. Une authentification résistante au phishing (passkeys/FIDO2) émousse le vol des codes à usage unique et MFA qui rend cette chaîne dangereuse.
- Hygiène côté utilisateur. Un lien sur un domaine
microsoft.comlégitime déjoue l’anti-phishing et le filtrage d’URL ; la réputation d’URL n’est donc pas un contrôle ici. Traitez les liens Copilot Search non sollicités comme tout lien d’action non sollicité.
Statut
| Élément | Valeur |
|---|---|
| Identifiant | CVE-2026-42824 (« SearchLeak ») |
| Affecté | Microsoft 365 Copilot Enterprise Search |
| Classe | Injection de prompt → course au rendu HTML → SSRF Bing (contournement CSP) |
| Impact | Divulgation d’informations / exfiltration de données en un clic |
| Sévérité | Microsoft : critique · CVSS 6,5 (MSRC) / 7,5 (NVD) |
| Divulgation | 15 juin 2026 (Varonis Threat Labs) |
| Correctif | Atténué côté serveur, début juin 2026 — aucune action client requise |
| Dans la nature | Aucune exploitation observée ; PoC uniquement |
Sources
- → https://thehackernews.com/2026/06/one-click-microsoft-365-copilot-flaw.html
- → https://www.bleepingcomputer.com/news/security/new-attack-turned-microsoft-365-copilot-into-1-click-data-theft-tool/
- → https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42824
- → https://nvd.nist.gov/vuln/detail/CVE-2026-42824