SearchLeak(CVE-2026-42824):一次点击让 M365 Copilot 变成数据外泄代理
Varonis 于 2026 年 6 月 15 日公开了 CVE-2026-42824 的利用机制:一条伪造的 microsoft.com 链接串联提示注入、HTML 渲染竞态与 Bing SSRF,窃取邮件和 MFA 验证码。已在服务端修复。
这是什么?
2026 年 6 月 15 日,Varonis Threat Labs 公开了 CVE-2026-42824 背后的利用机制——这是 Microsoft 365 Copilot Enterprise Search 中的一个信息泄露漏洞,他们将其命名为 SearchLeak。微软在 6 月补丁星期二发布该 CVE 时只给出了弱点类别和影响;我们当时已作记录,并指出其具体机制被隐去。如今 Varonis 用一份有记录的概念验证(PoC)填补了这一空白。
结果是:只需点击一条指向真实 microsoft.com 域名的链接,就可以外泄受害者的邮件、日历条目、会议纪要以及已被索引的 SharePoint/OneDrive 文件——包括收件箱中的一次性验证码和 MFA 验证码——无需向用户弹出任何提示,也无需第二次交互。微软给出了「严重」评级;但 CVSS 评分存在分歧(微软为 6.5,NVD 为 7.5)。微软已于 2026 年 6 月初在服务端修复,Varonis 仅报告了 PoC,未观察到实际被利用。
工作原理
SearchLeak 之所以值得关注,恰恰在于它的每个组成部分都不新颖。它把一个 AI 特有的弱点叠加在两个老旧的 Web 漏洞之上,每一环都为下一环创造条件。
- 参数到提示(P2P)注入。 Copilot Enterprise Search 会把它的
qURL 参数——本应是自然语言查询——当作指令而非搜索字符串来读取。因此一条伪造链接可以命令 Copilot 搜索已登录用户的邮箱、取出诸如邮件主题之类的字段,并将其嵌入一个图片 URL。受害者什么都不用输入;点击链接即可。 - HTML 渲染竞态。 微软的防护机制会把 Copilot 的输出包裹进
<code>块,使标记以惰性文本形式呈现。但这层包裹是在生成之后才应用的,而浏览器会随着数据流的到达逐步渲染。被注入的<img>标签会被绘制,并在净化器运行之前就发出其请求。 - 借助 Bing SSRF 绕过 CSP。
m365.cloud.microsoft上的内容安全策略(CSP)会拦截来自任意域名的图片,但将*.bing.com列入白名单。Bing 的「以图搜图」端点接受一个图片 URL 并在服务端抓取它。将其指向一个攻击者服务器、并把窃取的文本编码进路径,Bing 便会去抓取它——而由于请求源自 Bing 的基础设施,浏览器的 CSP 永远不会生效。Bing 沦为一个不知情的外泄代理。
串联起来:受害者点击,Copilot 搜索其数据,流式响应把诸如邮件主题之类的值嵌入一个 Bing 图片 URL,浏览器在数据流中途调用 Bing,Bing 抓取攻击者的 URL。攻击者从自己服务器的日志中读出秘密。从受害者视角看,只看到 Copilot「思考」了一瞬。这里不复现任何 payload;理解这一教训也无需任何 payload。
为何重要
Copilot Enterprise 通过用户的 Microsoft Graph 访问权限,能够触及已登录用户所能触及的一切,而 SearchLeak 让攻击者无需任何认证便继承了这一触及范围。最有价值的目标是收件箱:一次性验证码、MFA 验证码和密码重置链接往往在数分钟内仍然有效,足以在任何人察觉之前脚本化地完成账户接管。同样的访问权限还触及日历、会议纪要,以及任何含有薪酬数据、财报数字或并购计划的已索引文件。
Varonis 强调的结构性要点是:提示注入让原本可控的老旧漏洞类别死灰复燃。 SSRF 和净化竞态都有数十年历史,通常影响有限;而新的 P2P 注入原语,使它们在一个本不该被利用的语境中重新变得可利用。这与 2025 年的 EchoLeak(CVE-2025-32711) 形态相同,也与更早针对 Copilot Personal 的 Reprompt 技术一脉相承,并与我们对 CoPirate 365 和 Copilot Studio 中的 ShareLeak 的分析相呼应。它也是生产环境中的致命三要素:私有数据、不可信内容和一个外发通道,全部集中于同一轮交互。
防御
SearchLeak 已在服务端修复,而由于 Copilot Enterprise 是托管服务,租户管理员无法为出问题的组件打补丁。你能做的是检测并缩小影响半径:
- 监控注入特征。 留意
q参数中携带编码 payload 或 HTML 的 Copilot Search URL,以及与 Copilot 会话相关联、指向 Bing 图片端点的异常出站请求。 - 尽量减少 Copilot 可索引的内容。 强化数据访问治理,对 Copilot 索引的连接器和站点实行最小权限——它看不到的每一个文件,都是未来一次泄露无法触及的文件。
- 把模型输出当作下游的不可信输入。 根本原因是来自 LLM 响应的标记在净化之前就作用于浏览器接收端。从架构上看,「先渲染后净化」是不安全的;应在任何流式 token 能触发请求之前完成净化,并收紧 CSP 白名单(一个具备 SSRF 抓取原语的白名单域名就是一个外泄通道)。
- 降低被窃秘密的价值。 抗钓鱼的认证方式(passkey/FIDO2)能削弱使这条攻击链危险的一次性验证码与 MFA 验证码窃取。
- 用户侧防护。 一条位于合法
microsoft.com域名上的链接会绕过反钓鱼和 URL 过滤,因此 URL 信誉在此并非有效控制。请像对待任何未经请求的操作链接一样对待未经请求的 Copilot Search 链接。
状态
| 项目 | 取值 |
|---|---|
| 标识符 | CVE-2026-42824(「SearchLeak」) |
| 受影响 | Microsoft 365 Copilot Enterprise Search |
| 类别 | 提示注入 → HTML 渲染竞态 → Bing SSRF(绕过 CSP) |
| 影响 | 信息泄露 / 一次点击数据外泄 |
| 严重性 | 微软:严重 · CVSS 6.5(MSRC)/ 7.5(NVD) |
| 公开 | 2026 年 6 月 15 日(Varonis Threat Labs) |
| 补丁 | 已于 2026 年 6 月初在服务端缓解——无需客户操作 |
| 实际利用 | 未观察到被利用;仅 PoC |
Sources
- → https://thehackernews.com/2026/06/one-click-microsoft-365-copilot-flaw.html
- → https://www.bleepingcomputer.com/news/security/new-attack-turned-microsoft-365-copilot-into-1-click-data-theft-tool/
- → https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42824
- → https://nvd.nist.gov/vuln/detail/CVE-2026-42824