تم اكتشاف ثغرة أمنية خطيرة تعرف باسم “SearchLeak” تسمح لمهاجم بانتهاك خصوصية بيانات المستخدمين في Microsoft 365 Copilot Enterprise Search بنقرة واحدة. هذه الثغرة، التي تم تطويرها بواسطة باحثي Varonis Threat Labs، تستغل سلسلة من ثلاث علل برمجية لتمكين تسريب رسائل البريد الإلكتروني، وتفاصيل التقويم، والملفات المفهرسة دون الحاجة إلى مصادقة أو تفاعل إضافي من الضحية.
تم تعيين رقم CVE-2026-42824 لهذه الثغرة، وصنفت على أنها حرجة، مع درجات CVSS متفاوتة بين 6.5 و 7.5. ومع ذلك، فقد قامت Microsoft بإصلاح الخلل من جانب الخادم، مما يعني أن العملاء ليسوا معرضين للخطر في الوقت الحالي. قدم فريق Varonis دليلاً على المفهوم، ولم يتم رصد أي استغلال فعلي للثغرة حتى الآن.
تفاصيل ثغرة SearchLeak الأمنية
تتمحور الثغرة حول المعلمة ‘q’ في عنوان URL الخاص بـ Copilot Enterprise Search. بدلاً من تفسيرها كسلسلة بحث عادية، فإن Copilot يتعامل مع ما يوضع في هذه المعلمة كتعليمات مباشرة. هذا ما يسميه باحثو Varonis “Parameter-to-Prompt injection”.
من خلال هذه التقنية، يمكن للمهاجم صياغة عنوان URL يوجه Copilot للبحث داخل البريد الإلكتروني للمستخدم، واستخلاص عنوان بريد إلكتروني معين، ودمجه ضمن عنوان URL لصورة. كل ما يتطلبه الأمر هو أن ينقر المستخدم على هذا الرابط، وسيقوم Copilot بتنفيذ العملية دون أي تدخل إضافي.
آلية عمل الثغرة
تتضمن آلية عمل الثغرة ثلاث مراحل رئيسية. تبدأ المرحلة الأولى بـ “Parameter-to-Prompt injection” كما ذكرنا سابقاً. بعد ذلك، تأتي مرحلة “race condition” في كيفية معالجة الاستجابة. تضع Microsoft حاجز حماية يحيط بمخرجات Copilot في كتل لكي يعامل المتصفح التعليمات البرمجية كنص عادي. المشكلة تكمن في التوقيت: يتم تطبيق الحماية بعد انتهاء Copilot من الإنشاء، ولكن المتصفح يبدأ في عرض البيانات المتدفقة فور وصولها.
المرحلة الأخيرة تتعلق بتجاوز سياسة أمان المحتوى (CSP) الخاصة بالصفحة. تمنع CSP على m365.cloud.microsoft الصور من نطاقات عشوائية، لكنها تسمح بنطاقات *.bing.com. تستغل الثغرة نقطة نهاية “Search by Image” في Bing، والتي تقوم بجلب الصور من عناوين URL وتقديمها لتحديث الخادم لتحليلها. من خلال توجيه هذا الطلب إلى خادم المهاجم مع تضمين البيانات المسروقة في المسار، يتم استردادها بواسطة Bing.
ما الذي يمكن أن يحصل عليه المهاجم؟
يمكن لـ Copilot Enterprise الوصول إلى أي بيانات يمكن للمستخدم الذي سجل الدخول الوصول إليها عبر صلاحيات Microsoft Graph. وبهذه الثغرة، يرث المهاجم هذه الصلاحيات دون الحاجة إلى تسجيل الدخول.
تعتبر المعلومات الأكثر حساسية هي رموز التحقق لمرة واحدة، ورموز المصادقة متعددة العوامل (MFA)، وروابط إعادة تعيين كلمة المرور، والتي قد تظل صالحة لبضع دقائق. يمكن لبرنامج نصي يقوم باستخراج هذه المعلومات من سجلات المهاجم أثناء فتح النافذة أن يؤدي إلى اختراق حساب الضحية قبل أن يلاحظ أي شخص.
الوصول إلى بيانات أوسع
لا يقتصر الأمر على رموز التحقق، حيث يمكن للثغرة أيضاً الوصول إلى دعوات التقويم، وملاحظات الاجتماعات، وأي ملف موجود على SharePoint أو OneDrive قام Copilot بفهرسته. هذا يشمل بيانات حساسة مثل تفاصيل الرواتب، وأرقام الأرباح، وخطط الاستحواذ.
تعد ثغرة SearchLeak هي المرة الثانية التي يكشف فيها فريق Varonis عن هذا النمط من الهجوم. فقد سبق وأن عرض الباحث Dolev Taler تقنية مشابهة في هجوم Reprompt ضد Copilot Personal. وتؤكد هذه الثغرة أن هذه الأنماط من الهجمات يمكن أن تكون فعالة حتى مع وجود إجراءات أمنية إضافية في النسخة المؤسسية.
تم إصلاح الثغرة من قبل Microsoft من جانب الخادم. وبما أن Copilot Enterprise هي خدمة مدارة، لا يمكن لمديري الأنظمة تطبيق تصحيحات أو إعادة تكوين الأجزاء التي فشلت. ومع ذلك، يمكنهم مراقبة واحتواء المخاطر من خلال البحث عن عناوين URL خاصة بـ Copilot Search تحتوي على حمولات مشفرة أو HTML في المعلمة ‘q’، وكذلك مراقبة أي طلبات صادرة غير عادية إلى نقاط نهاية الصور الخاصة بـ Bing. كما يُنصح بتشديد سياسات حوكمة الوصول إلى البيانات لتقليل كمية البيانات التي يفهرسها Copilot، مما يحد من نطاق أي تسريب مستقبلي.