Microsoft 365 Copilot soll Nutzern dabei helfen, Informationen aus E-Mails, Kalendern, OneDrive-Dateien und SharePoint-Dokumenten schneller zu finden. Genau diese Stärke kann jedoch auch zum Risiko werden, wenn Sicherheitsgrenzen nicht ausreichend greifen. Sicherheitsforscher von Varonis haben eine kritische Angriffskette mit dem Namen „SearchLeak“ demonstriert. Dabei hätte ein einziger Klick auf einen präparierten Microsoft-365-Link ausgereicht, um sensible Daten aus einem Unternehmensaccount nach außen zu leiten.
Die Schwachstelle wurde als CVE-2026-42824 erfasst und von Microsoft inzwischen serverseitig behoben.
Was ist passiert?
Bei SearchLeak handelte es sich nicht um einen klassischen Phishing-Angriff, bei dem Nutzer ihre Zugangsdaten auf einer gefälschten Website eingeben. Der Angriff nutzte stattdessen Microsoft 365 Copilot Enterprise Search selbst als Werkzeug.
Der Angreifer hätte dem Opfer einen speziell vorbereiteten Link schicken können. Dieser führte auf eine legitime Microsoft-Domain und wirkte dadurch weniger verdächtig als eine typische Phishing-URL. Nach dem Klick wurde Copilot Enterprise Search geöffnet. Die eigentliche Manipulation steckte in einem URL-Parameter, der normalerweise für Suchanfragen vorgesehen ist.
Das Problem war, dass Copilot diesen Parameter nicht nur als Suchtext, sondern als ausführbare Anweisung behandelte. Dadurch konnte ein Angreifer Copilot dazu bringen, im Kontext des eingeloggten Nutzers nach sensiblen Informationen zu suchen.
Wie funktionierte die Angriffskette?
Die Forscher beschreiben eine Verkettung aus drei Schwachstellen. Für sich allein genommen wären die einzelnen Bausteine weniger gravierend gewesen. Zusammen ergab sich daraus jedoch ein Datenabfluss mit nur einem Klick.
1. Parameter-to-Prompt Injection
Der Einstiegspunkt war ein Suchparameter in der URL von „Microsoft 365 Copilot Enterprise Search”. Über diesen Parameter sollte eigentlich eine normale Suchanfrage übergeben werden. Laut Varonis konnte er jedoch so missbraucht werden, dass Copilot ihn als direkte Anweisung interpretierte.
Ein Angreifer konnte Copilot somit anweisen, bestimmte Informationen aus E-Mails, Kalenderdaten, OneDrive oder SharePoint zu suchen und in eine weitere Ausgabe einzufügen. Der Nutzer musste dafür nichts eingeben. Ein Klick auf den präparierten Link genügte.
2. HTML-Rendering-Race-Condition
Der zweite Baustein betraf die Art und Weise, wie Copilot seine Antworten im Browser ausgibt. Sicherheitsmechanismen sollen eigentlich verhindern, dass gefährlicher HTML-Code ausgeführt wird. Laut den Forschern gab es jedoch ein kurzes Zeitfenster während der Darstellung der Antwort.
In diesem Moment konnte ein eingebettetes Bildelement verarbeitet werden, bevor die Schutzmechanismen vollständig griffen. Dadurch war es möglich, einen ausgehenden Request auszulösen, in dem zuvor abgefragte Informationen versteckt werden konnten.
3. Umgehung der Content Security Policy über Bing
Eine Content Security Policy soll normalerweise verhindern, dass Daten an beliebige externe Server gesendet werden. Im konkreten Fall spielte jedoch Bing eine zentrale Rolle. Bestimmte Bing-Dienste waren als vertrauenswürdige Ziele zugelassen. Die Forscher machten sich zunutze, dass ein Mechanismus der Bing-Bildsuche serverseitig eine angegebene Bild-URL abrufen konnte.
Dadurch wurde Bing indirekt zum Weiterleitungsweg für den Datenabfluss. Aus Sicht des Browsers erfolgte der Zugriff zunächst auf einen erlaubten Microsoft- bzw. Bing-Dienst. Anschließend wurde der Abruf des Angreifer-Servers über Bing angestoßen.
Warum ist das bei KI-Assistenten besonders problematisch?
Microsoft 365 Copilot ist kein isolierter Chatbot. Der Dienst ist tief in Microsoft 365 integriert und kann Unternehmensdaten aus verschiedenen Quellen auswerten. Das ist im Alltag nützlich, da Nutzer nicht mehr manuell in Outlook, Teams, OneDrive und SharePoint suchen müssen.
Aus Sicherheitsperspektive entsteht dadurch jedoch ein neuer Risikobereich. Copilot wird zu einer zentralen Such- und Zusammenfassungsschicht für Unternehmensdaten. Wenn ein Angreifer diese Schicht manipulieren kann, muss er nicht mehr jede einzelne Datei selbst finden. Er kann den KI-Assistenten stattdessen dazu bringen, relevante Informationen für ihn zu suchen.
SearchLeak macht deshalb nicht nur eine einzelne technische Schwachstelle sichtbar, sondern ein grundlegendes Problem moderner KI-Integrationen: Je mehr interne Daten ein Assistent erreichen kann, desto wichtiger werden strikte Berechtigungen, robuste Ausgabefilter, eine saubere Trennung von Nutzerinhalt und Systemanweisung sowie die konsequente Überwachung ungewöhnlicher Aktivitäten.
Ist die Lücke noch offen?
Nach aktuellem Stand hat Microsoft die Schwachstelle behoben. Da Microsoft 365 Copilot Enterprise ein Cloud-Dienst ist, erfolgte die Entschärfung serverseitig. Unternehmen mussten somit keinen klassischen Patch auf Clients ausrollen.
