Přejít na hlavní obsah
CIAD

Microsoft 365 Copilot kradl e-maily a přístupové kódy jedním kliknutím

Zranitelnost SearchLeak v M365 Copilot umožňovala jedním kliknutím ukrást e-maily, soubory i MFA kódy. Microsoft opravil na backendu v červnu 2026.

Pokud vaše firma používá Microsoft 365 Copilot, umělého inteligentního asistenta Microsoftu pro práci s e-maily, dokumenty a kalendářem, existovala do začátku června 2026 zranitelnost, která útočníkovi stačilo přimět uživatele kliknout na jeden odkaz. Za tím jediným kliknutím mohl odcizit e-maily, soubory z OneDrivu a SharePointu, obsah kalendáře i jednorázové přihlašovací kódy nebo MFA tokeny (MFA je dvoufaktorové ověření identity) uložené v poštovní schránce.

Co se stalo

Výzkumníci z Varonis Threat Labs zveřejnili 15. června 2026 podrobnosti o zranitelnosti nazvané SearchLeak (CVE-2026-42824; CVE je standardní označení pro zdokumentovanou bezpečnostní chybu). Závažnost byla hodnocena skóre CVSS 6.5 dle Microsoftu a 7.5 dle NVD (CVSS je stupnice od 0 do 10, kde vyšší číslo znamená závažnější riziko).

Jak útok fungoval

Dolev Taler z Varonis Threat Labs zdokumentoval řetězení tří samostatných chyb.

První chybou byla prompt injection (technika, kdy útočník vloží škodlivé instrukce do vstupu AI asistenta tak, aby se choval jinak, než má) prostřednictvím URL parametru „q”. Tato injekce zneužívala race condition (situaci, kdy dvě akce proběhnou ve špatném pořadí) při HTML renderingu v rozhraní Copilotu. Ve třetím kroku útočník obešel Content Security Policy (CSP; ochranné pravidlo prohlížeče, které omezuje odkud smí stránka načítat obsah) skrze SSRF (typ útoku, kdy aplikace na popud útočníka odešle požadavek jinam, než by měla) přes Bing image endpoint a dostal se k datům oběti bez nutnosti dalšího vstupu.

Odlišení od podobné chyby EchoLeak

SearchLeak je třeba odlišit od dříve zveřejněné zranitelnosti EchoLeak (CVE-2025-32711) z roku 2025, kterou identifikovala Aim Security. EchoLeak byl zero-click útok (nevyžadoval žádnou akci uživatele) na jiné rozhraní. SearchLeak je novější, samostatná chyba vyžadující jedno kliknutí uživatele. Oba problémy ukazují na opakující se třídu rizik v produktech, které integrují velké jazykové modely (LLM), konkrétně na kombinaci prompt injection s nedostatečnou izolací výstupního kontextu.

Dopad a oprava

Microsoft provedl opravu na backendu začátkem června 2026, ještě před veřejným zveřejněním. Zákazníci nemuseli provádět žádnou akci na straně klienta. Přesto incident znovu ukazuje, jak mohou AI asistenti integrovaní do firemních systémů rozšiřovat plochu útoku způsobem, který tradiční perimetrová ochrana nepokrývá.

Co z toho plyne

  • Sledujte bezpečnostní bulletiny Microsoftu pro M365 a Copilot, zejména backend opravy bez nutnosti zákaznické akce.
  • Školte uživatele M365 v rozpoznávání podezřelých odkazů, i když prostředí působí důvěryhodně.
  • Omezte oprávnění Copilotu jen na nezbytné datové zdroje (princip nejnižšího privilegia).
  • Zvažte monitoring neobvyklých exportů dat z OneDrive a SharePointu.
  • Při integraci AI asistentů do firemního prostředí provádějte pravidelný přezkum hrozebného modelu specificky pro LLM vektory, jako je prompt injection.

Zdroje:

Tento přehled sestavil automatizovaný redakční systém CIAD z veřejně dostupných zdrojů, ověřil fakta vůči více nezávislým zdrojům a uvedl je níže. Redakční odpovědnost nese CIAD. Nepřesnost nahlaste na office@ciad.cz.

← Zpět na blog