https://cyberveille.ch/tags/p2p-injection/ Recent content in P2P Injection on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Wed, 17 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-17-searchleak-chaine-de-vulnerabilites-critiques-dans-m365-copilot-enterprise-permettant-l-exfiltration-de-donnees/ Wed, 17 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-17-searchleak-chaine-de-vulnerabilites-critiques-dans-m365-copilot-enterprise-permettant-l-exfiltration-de-donnees/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié le 15 juin 2026 par Varonis Threat Labs sur le blog officiel de Varonis, cet article présente la découverte de <strong>SearchLeak</strong>, une chaîne de vulnérabilités critiques affectant <strong>Microsoft 365 Copilot Enterprise</strong>. La vulnérabilité a été corrigée par Microsoft sous l&rsquo;identifiant <strong>CVE-2026-42824</strong>, avec une sévérité maximale <strong>critique</strong>.</p> <h2 id="-mécanisme-dattaque--une-chaîne-en-trois-étapes">⚙️ Mécanisme d&rsquo;attaque : une chaîne en trois étapes</h2> <p>SearchLeak combine trois failles distinctes pour former une chaîne d&rsquo;exploitation complète :</p> <ol> <li><strong>Parameter-to-Prompt (P2P) Injection</strong> : Le paramètre <code>q</code> de l&rsquo;URL de Copilot Enterprise Search est transmis directement au moteur IA comme une instruction exécutable, permettant à un attaquant d&rsquo;injecter des commandes arbitraires.</li> <li><strong>HTML Rendering Race Condition</strong> : Pendant la phase de streaming de la réponse Copilot, une balise <code>&lt;img&gt;</code> est rendue par le navigateur <em>avant</em> que le sanitizer de sortie ne s&rsquo;active, permettant l&rsquo;envoi d&rsquo;une requête HTTP vers une URL contrôlée par l&rsquo;attaquant.</li> <li><strong>CSP Bypass via Bing SSRF</strong> : Le domaine <code>*.bing.com</code> étant autorisé dans la Content Security Policy, l&rsquo;attaquant exploite l&rsquo;endpoint Bing <code>searchbyimage</code> qui effectue une requête côté serveur vers une URL arbitraire, contournant ainsi la CSP du navigateur.</li> </ol> <h2 id="-déroulement-de-lattaque">🎯 Déroulement de l&rsquo;attaque</h2> <ul> <li>L&rsquo;attaquant envoie à la victime un lien vers <code>m365.cloud.microsoft</code> (domaine légitime Microsoft)</li> <li>La victime clique → Copilot interprète le paramètre <code>q</code> comme des instructions</li> <li>Copilot recherche dans la boîte mail, le calendrier, SharePoint, OneDrive</li> <li>Une balise <code>&lt;img&gt;</code> est générée avec les données volées encodées dans l&rsquo;URL</li> <li>Le navigateur envoie la requête à Bing (autorisé par CSP)</li> <li>Bing effectue un fetch côté serveur vers <code>attacker.com/&lt;DONNÉES_VOLÉES&gt;/img.png</code></li> <li>L&rsquo;attaquant récupère les données dans les logs de son serveur</li> </ul> <h2 id="-impact">💥 Impact</h2> <p>Les données potentiellement exfiltrables incluent :</p>