Zespół badaczy z Varonis Threat Labs odkrył niebezpieczną lukę w bezpieczeństwie Microsoft 365 Copilot Enterprise Search. Podatność, nazwana SearchLeak, umożliwiała atakującym kradzież poufnych danych — wiadomości e-mail, wpisów z kalendarza i indeksowanych plików — z zaledwie jednym kliknięciem. Najgorsza część? Atak wykorzystywał spreparowany URL na autentycznej domenie microsoft.com, co czyniło go trudnym do wykrycia dla standardowych filtrów antyphishingowych.
Luka działała poprzez obejście istniejących mechanizmów weryfikacji dostępu. Zamiast tradycyjnego phishingu, który prosi użytkownika o logowanie się na podrobionej stronie, SearchLeak wykorzystywał sam fakt, że osoba jest już zalogowana w Microsoft 365. Kliknięcie spreparowanego linku mogło automatycznie ujawnić dane bez dodatkowych działań ze strony ofiary. To stanowiło szczególnie niebezpieczną sytuację dla pracowników korporacyjnych, którzy regularnie klikają linki w wiadomościach e-mail.
Microsoft już został powiadomiony o podatności i wdrożył poprawkę. Incydent ten podkreśla rosnące wyzwania związane z bezpieczeństwem narzędzi AI integrowanych z pakietami produktywności. W miarę jak organizacje coraz bardziej polegają na zautomatyzowanym wyszukiwaniu i indeksowaniu danych, rośnie też powierzchnia ataku dostępna dla cyberprzestępców. Badacze bezpieczeństwa rekomendują firmom zweryfikowanie, czy mają wdrożone najnowsze aktualizacje bezpieczeństwa i przeprowadzenie audytów dostępu do poufnych informacji.