Một chuỗi lỗ hổng nghiêm trọng trong Microsoft 365 Copilot Enterprise cho phép kẻ tấn công đánh cắp dữ liệu nhạy cảm của doanh nghiệp, mã xác thực đa yếu tố (MFA), nội dung email, chi tiết lịch và các tệp tin bí mật chỉ bằng một cú nhấp chuột vào liên kết trỏ đến tên miền hợp pháp của Microsoft. Lỗ hổng này, được gọi là SearchLeak, được Varonis Threat Labs phát hiện và theo dõi với mã định danh CVE-2026-42824, đã nhận được đánh giá mức độ nghiêm trọng tối đa từ Microsoft trước khi được vá lỗi. Sự nguy hiểm của SearchLeak không nằm ở một lỗi đơn lẻ mà ở cách nó kết hợp một điểm yếu mới liên quan đến AI với hai lỗ hổng bảo mật web đã biết, biến tính năng Tìm kiếm của Copilot Enterprise thành một kênh âm thầm để đánh cắp dữ liệu.
Chi Tiết Lỗ Hổng SearchLeak
SearchLeak không phải là một lỗ hổng riêng lẻ mà là một chuỗi khai thác (chained exploit) vũ khí hóa tính năng Tìm kiếm của Microsoft 365 Copilot Enterprise như một công cụ đánh cắp dữ liệu âm thầm. Cuộc tấn công này kết hợp ba điểm yếu khác biệt:
1. Parameter-to-Prompt (P2P) Injection
Tính năng Tìm kiếm của Microsoft 365 Copilot chấp nhận tham số URL q, được thiết kế cho các truy vấn tìm kiếm bằng ngôn ngữ tự nhiên. Tuy nhiên, giá trị được đặt trong tham số q được xử lý bởi công cụ AI của Copilot không chỉ như một chuỗi tìm kiếm mà còn như các chỉ dẫn thực thi. Kẻ tấn công có thể tạo một URL độc hại trỏ đến một tên miền hợp pháp của Microsoft và ra lệnh cho Copilot tìm kiếm trong hộp thư của nạn nhân, sau đó nhúng dữ liệu bị trích xuất vào một URL hình ảnh. Do liên kết trỏ đến tên miền Microsoft hợp pháp, các công cụ bảo mật chống lừa đảo và bảo vệ URL truyền thống sẽ không phát hiện ra mối đe dọa.
2. Tình Trạng Đua (Race Condition) trong Việc Kết Xuất HTML
Biện pháp giảm thiểu của Microsoft đối với HTML nguy hiểm do AI tạo ra là bao bọc đầu ra của Copilot trong các khối , ngăn trình duyệt hiển thị nó dưới dạng mã đánh dấu. Tuy nhiên, việc bao bọc này chỉ xảy ra sau khi Copilot hoàn thành giai đoạn tạo nội dung. Trong giai đoạn truyền dữ liệu (streaming phase), HTML thô, bao gồm cả các thẻ <img> do kẻ tấn công chèn, tạm thời được hiển thị trực tiếp trong DOM. Trình duyệt sẽ gửi yêu cầu HTTP trước khi trình làm sạch (sanitizer) có cơ hội kích hoạt, biến đây thành một tình trạng đua có thể vượt qua các biện pháp bảo vệ.
3. Server-Side Request Forgery (SSRF) qua Bing Image Search
Trình duyệt của nạn nhân không thể liên hệ trực tiếp với máy chủ do kẻ tấn công kiểm soát do Chính sách Bảo mật Nội dung (CSP) trên m365.cloud.microsoft. Tuy nhiên, tên miền *.bing.com nằm trong danh sách cho phép của CSP. Tính năng “Search by Image” của Bing chấp nhận tham số imgurl và thực hiện truy xuất phía máy chủ (server-side fetch) đối với URL được cung cấp để phân tích hình ảnh. Kẻ tấn công nhúng dữ liệu bị đánh cắp trực tiếp vào đường dẫn của URL tìm kiếm hình ảnh Bing này. Hệ thống backend của Bing vô tình chuyển tiếp dữ liệu bị đánh cắp đến máy chủ của kẻ tấn công, hoàn toàn bỏ qua CSP.
Quy Trình Tấn Công Hoàn Chỉnh
Cuộc tấn công hoàn chỉnh chỉ yêu cầu một liên kết được chế tạo cẩn thận, gửi qua email, Teams, Slack hoặc bất kỳ kênh nhắn tin nào. Khi nạn nhân nhấp vào liên kết này, Copilot sẽ âm thầm tìm kiếm hộp thư của họ, tạo ra phản hồi với dữ liệu bị đánh cắp được nhúng trong URL tìm kiếm hình ảnh Bing. Máy chủ của kẻ tấn công sẽ ghi lại thông tin bị đánh cắp chỉ trong vài giây, mà không yêu cầu bất kỳ lần nhấp thứ hai nào. Đây là một ví dụ điển hình về khai thác zero-day khi nó kết hợp các kỹ thuật tấn công tinh vi.
Microsoft đã vá lỗi SearchLeak phía máy chủ. Người dùng không cần thực hiện hành động nào để nhận bản vá. Tuy nhiên, Varonis khuyến nghị các nhóm bảo mật:
- Giám sát chặt chẽ các kết nối đi bất thường từ môi trường Microsoft 365.
- Kiểm tra các bản ghi nhật ký của các ứng dụng và dịch vụ web có thể được sử dụng làm điểm trung gian cho việc đánh cắp dữ liệu.
- Tăng cường đào tạo nhận thức về lừa đảo cho người dùng, nhấn mạnh tầm quan trọng của việc xác minh các liên kết, ngay cả khi chúng xuất phát từ các nguồn đáng tin cậy.
Tác Động và Cảnh Báo
SearchLeak nối tiếp phát hiện trước đó của Varonis về Reprompt, một chuỗi khai thác một cú nhấp chuột tương tự ảnh hưởng đến Copilot Personal. Cùng nhau, những phát hiện này nhấn mạnh cách các trợ lý AI đang tạo ra các bề mặt tấn công mới, khó phát hiện bằng cách kích hoạt lại các lỗ hổng cổ điển trước đây không thể khai thác trong các ngữ cảnh mới. Việc hiểu rõ các lỗ hổng CVE phức tạp như SearchLeak là rất quan trọng để duy trì an ninh mạng.
Các mối đe dọa mạng ngày càng tinh vi, tận dụng những điểm yếu mới nổi trong các công nghệ tiên tiến. Các chuyên gia bảo mật cần liên tục cập nhật thông tin về các lỗ hổng mới và các kỹ thuật tấn công để bảo vệ hệ thống hiệu quả.
Thông tin chi tiết về lỗ hổng và các bản cập nhật bảo mật có thể được tham khảo trên trang web của Microsoft: CVE-2026-42824.
