SearchLeak : chaîne de vulnérabilités critiques dans M365 Copilot Enterprise permettant l'exfiltration de données
🔍 Contexte Publié le 15 juin 2026 par Varonis Threat Labs sur le blog officiel de Varonis, cet article présente la découverte de SearchLeak, une chaîne de vulnérabilités critiques affectant Microsoft 365 Copilot Enterprise. La vulnérabilité a été corrigée par Microsoft sous l’identifiant CVE-2026-42824, avec une sévérité maximale critique. ⚙️ Mécanisme d’attaque : une chaîne en trois étapes SearchLeak combine trois failles distinctes pour former une chaîne d’exploitation complète : Parameter-to-Prompt (P2P) Injection : Le paramètre q de l’URL de Copilot Enterprise Search est transmis directement au moteur IA comme une instruction exécutable, permettant à un attaquant d’injecter des commandes arbitraires. HTML Rendering Race Condition : Pendant la phase de streaming de la réponse Copilot, une balise <img> est rendue par le navigateur avant que le sanitizer de sortie ne s’active, permettant l’envoi d’une requête HTTP vers une URL contrôlée par l’attaquant. CSP Bypass via Bing SSRF : Le domaine *.bing.com étant autorisé dans la Content Security Policy, l’attaquant exploite l’endpoint Bing searchbyimage qui effectue une requête côté serveur vers une URL arbitraire, contournant ainsi la CSP du navigateur. 🎯 Déroulement de l’attaque L’attaquant envoie à la victime un lien vers m365.cloud.microsoft (domaine légitime Microsoft) La victime clique → Copilot interprète le paramètre q comme des instructions Copilot recherche dans la boîte mail, le calendrier, SharePoint, OneDrive Une balise <img> est générée avec les données volées encodées dans l’URL Le navigateur envoie la requête à Bing (autorisé par CSP) Bing effectue un fetch côté serveur vers attacker.com/<DONNÉES_VOLÉES>/img.png L’attaquant récupère les données dans les logs de son serveur 💥 Impact Les données potentiellement exfiltrables incluent : ...