One-Click-уязвимость в Microsoft 365 Copilot: утечка писем, файлов и кодов MFA (SearchLeak)

Коллеги, хочу обратить внимание на инцидент в сфере кибербезопасности. Исследователи Varonis нашли цепочку из трёх багов в Copilot Enterprise Search — SearchLeak.
- Что: однонажатная цепочка позволяет извлечь темы писем, файлы и коды MFA без действий пользователя.
- Как: инъекция в параметре q, гонка с санитаризацией вывода и обход CSP через серверный запрос Bing — Bing служит прокси.
- Статус: Microsoft присвоил CVE-2026-42824 и исправил проблему на бэкенде; опубликован PoC, эксплуатации не зафиксировано.
Почему это важно: уязвимость даёт доступ ко всему, что Copilot индексирует через Microsoft Graph, включая одноразовые коды и документы.
Что Вы посоветуете предпринять в среде?
#кибербезопасность #Microsoft365 #Copilot #infosec


Последние комментарии
Комментариев пока нет.