ine Schwachstellenkette in Microsoft 365 Copilot Enterprise ermöglicht mit einem einzigen Klick auf einen präparierten Suchlink die stille Exfiltration von Postfach, Kalender und Dateien an einen fremden Server. Da der Angriffslink auf eine echte microsoft.com-Adresse zeigt, greifen klassische Phishing-Filter nicht. Microsoft hat die Lücke serverseitig geschlossen.
SearchLeak verschafft Cyberkriminellen per Klick Zugriff auf Postfach, Kalender und Microsoft-365-Dateien. Klassische Phishing-Filter erkennen den Angriff nicht, weil er über einen echten Microsoft-Link erfolgt.
Die Schwachstellenkette mit dem Namen SearchLeak betrifft die Enterprise-Suche von Microsoft 365 Copilot und wird unter CVE-2026-42824 geführt. Sie verbindet drei einzeln beherrschbare Schwächen zu einem stillen Abfluss von Daten. Den Anfang macht eine KI-spezifische Lücke, die den Suchparameter einer URL in eine ausführbare Anweisung an das Sprachmodell verwandelt. Da der Angriffslink auf eine echte microsoft.com-Adresse zeigt, greifen klassische Phishing- und URL-Filter nicht.
Suchparameter wird zur KI-Anweisung
Die Enterprise-Suche von Copilot nimmt einen Suchparameter in der URL entgegen, der für natürlichsprachige Abfragen vorgesehen ist. Das Sprachmodell führt dessen Inhalt jedoch als Anweisung aus. Ein Angreifer formuliert darin den Auftrag, das Postfach zu durchsuchen, einen Betreff auszulesen und in eine Bild-URL einzubetten. Das Opfer tippt nichts ein, der Klick auf den Link reicht aus. Varonis beobachtete dieselbe Technik zuvor unter dem Namen Reprompt in der Personal-Variante und fand sie trotz zusätzlicher Schutzmechanismen auch in der Enterprise-Umgebung wieder.
Microsoft kapselt KI-Antworten nachträglich in Code-Blöcke, damit der Browser sie als Text behandelt und enthaltenes Markup nicht ausführt. Die Kapselung greift erst nach Abschluss der Generierung. Im Streaming-Vorgang landet das rohe HTML kurzzeitig im DOM. Der Browser erkennt das eingebettete img-Element, rendert es und schickt sofort eine HTTP-Anfrage an die hinterlegte Quelle. Bis die Bereinigung die Ausgabe einschließt, hat die Anfrage das System bereits verlassen.
Die Content Security Policy der Copilot-Domäne beschränkt, von welchen Adressen Bilder geladen werden dürfen, und blockiert einen direkten Verweis auf einen Angreifer-Server. Auf der Freigabeliste steht jedoch bing.com. Die Funktion Search by Image von Bing nimmt eine Bild-URL als Parameter entgegen und ruft diese serverseitig ab. Der Abruf läuft über die Infrastruktur von Bing und damit außerhalb des Browsers, sodass die Content Security Policy nicht mehr greift. Der Angreifer-Server protokolliert den eingehenden Pfad mit dem gestohlenen Betreff. Im Kern handelt es sich um eine serverseitige Anfragefälschung (Server-Side Request Forgery, SSRF), die ein Eintrag der CSP-Freigabeliste verdeckt.
Voller Zugriff über die Nutzerberechtigungen
Copilot Enterprise arbeitet mit den vollständigen Graph-Berechtigungen des angemeldeten Nutzers. Eine erfolgreiche Ausnutzung verschafft dem Angreifer denselben Zugriff auf die Organisationsdaten, ohne dass er sich anmeldet. Betroffen sind Betreffzeilen und Inhalte von E-Mails, die häufig Sicherheitscodes, Einmalpasswörter und Links zum Zurücksetzen von Passwörtern enthalten. Hinzu kommen Termindetails aus dem Kalender mit Teilnehmern und Notizen sowie indexierte Dateien aus SharePoint und OneDrive, darunter Geschäftszahlen und Personaldaten.
Die serverseitige Anfragefälschung über Bing und die Race Condition beim HTML-Rendering zählen zu seit Langem dokumentierten Fehlerklassen. Neu ist die Verknüpfung über die KI. Erst die Umdeutung eines URL-Parameters in eine Modell-Anweisung schleust den vom Angreifer kontrollierten HTML-Code in die Antwort ein und macht die bekannten Schwächen ausnutzbar. Ohne diese Verkettung blockiert jede einzelne Schutzschicht den Angriff.
Patch und Schutzmaßnahmen
Microsoft hat CVE-2026-42824 Anfang Juni 2026 serverseitig geschlossen, ein Eingreifen der Kunden ist nicht erforderlich. Varonis veröffentlichte die Analyse am 15.06.2026 und meldet bislang keine aktive Ausnutzung. Varonis bewertet die Schwere als kritisch. In der offiziellen Bewertung liegt der CVSS-3.1-Wert niedriger, Microsoft führt die Lücke mit 6.5, die National Vulnerability Database mit 7.5. Sicherheitsteams sollten Copilot-Such-URLs auf kodierte Inhalte im Suchparameter prüfen, Freigabelisten der Content Security Policy auf Domänen mit serverseitigem Abruf kontrollieren und die Bereinigung von KI-Ausgaben zum Zeitpunkt der Darstellung erzwingen. Anwender sollten Links zu Microsoft-365-Diensten mit langen, kodierten Parametern vor dem Klick prüfen und ungewöhnliches Verhalten von Copilot melden.
Fazit
SearchLeak zeigt, dass KI-Assistenten mit weitreichenden Datenzugriffen lange bekannte Web-Schwachstellen neu nutzbar machen. Die Kette war ausschließlich über einen vertrauenswürdigen Microsoft-Link auslösbar und blieb für klassische Phishing-Abwehr unsichtbar. Mit dem serverseitigen Patch ist der konkrete Angriffsweg geschlossen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/af/87/af870dceba71f676a57aff96bacc9247/0131994344v2.jpeg "SearchLeak verschafft Cyberkriminellen per Klick Zugriff auf Postfach, Kalender und Microsoft-365-Dateien. Klassische Phishing-Filter erkennen den Angriff nicht, weil er über einen echten Microsoft-Link erfolgt. (Bild: © ภาคภูมิ ปัจจังคะตา - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6a/e2/6ae2b161550c351083edc918172ea541/0129495526v1.jpeg "Deepfakes erkennen, wenn das Auge versagt: Im Podcast erklärt Raphael Frick vom Fraunhofer SIT, wie KI-basierte Forensik Fälschungen entlarvt, die Menschen nicht mehr erkennen können. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/46/96/4696da6c02c34eb5ff1bbeafd2fd4980/0131975065v2.jpeg "Eine Use-after-free in Linux nf_tables gibt lokalen Angreifern Root-Rechte und ermöglicht Container-Ausbruch. Es kursiert bereits ein öffentlicher Exploit-Code. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fa/69/fa69611da81abbbb2fe782b19371f731/0131971597v2.jpeg "Seit Jahrzehnten gelten US-Exportkontrollen für Chips und Rüstungsgüter. Nun werden sie erstmals auch auf KI-Modelle angewendet und beeinträchtigen damit die Handlungsfähigkeit Europas direkt. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/aa/5faa721a79e8772d2133b5a1a929439b/0131974820v2.jpeg "Eine Path-Traversal-Lücke im Cisco SD-WAN Manager gibt Angreifern Root-Zugriff. CISA hat die Schwachstelle CVE-2026-20262 in den KEV-Katalog aufgenommen, ein Workaround fehlt. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/60/91/60918a90c10e4f626af3b6ad937c057f/0131873319v1.jpeg "Das Bild visualisiert einen Zufallszahlengenerator, der auf Quantenfluktuationen beruht (Bild: Fraunhofer IPMS/KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/00/a9/00a9f10bccfd04a166aea3aec68c619d/0131975032v2.jpeg "Gefährdungsbeurteilungen ohne IT-Sicherheit hinterlassen blinde Flecken im Arbeitsschutz. TRBS 1115 zeigt, wie Unternehmen diese Lücken systematisch schließen. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/da/b4/dab4612f7c2dcfc259b9ccd933a87cd8/0131971369v2.jpeg "Eine Phishing-Mail reicht aus, um ein Netzwerk in Minuten zu kompromittieren. Darauf antwortet Barracuda jetzt mit Integrated Email Protection. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4e/79/4e79d59da4087ea77a3885fe977f4ba7/0131972869v2.jpeg "Autonome KI-Agenten arbeiten mit weitreichenden Systemberechtigungen. Ein Schutz durch rein softwarebasierte Guardrails reicht nicht aus, um Angriffe mit Maschinengeschwindigkeit zu stoppen. (Bild: © Naseem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/38/55/3855af46f26721068e776c3b94d175e1/0131974749v2.jpeg "Manipulierte CDN-Skripte von Awesome Motive legten auf 1,2 Millionen WordPress-Seiten Admin-Konten an. Ein einziger gestohlener CDN-Schlüssel genügte als Angriffsvektor. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/42/8d/428dc0efc2c83df53175fd9c7184e9fd/0131903746v1.jpeg "Über acht Terabyte an unverschlüsselten Passwörtern, Benutzernamen und E-Mail-Adressen waren zeitweise frei im Netz zugänglich. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/6f/1d6fc9235f6b3c688829e489da171450/0131997886v1.jpeg "Die Sophos Advisory Services helfen, Schwachstellen zu identifizieren und Risiken gezielt zu reduzieren. (Bild: Getty Images)")
:quality(80)/p7i.vogel.de/wcms/38/73/38736859f3bbd53b9fc6edcc8f372f1a/0131559499v1.jpeg "Der ATHENE Startup Award UP26@it-sa richtet sich an junge Cybersecurity- und Datenschutz-Startups aus Deutschland, Österreich und der Schweiz. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dc/e7/dce7048477ac2b6f9d1411475c2fef78/0131183563v1.jpeg "Malware wie Viren, Würmer und Trojaner ist Software, die nur für den Zweck erzeugt wird, Schaden anzurichten. (Bild: Olemedia via Getty Images Signature)")
:quality(80)/p7i.vogel.de/wcms/a3/7d/a37d1d1261dbe550bbc86876a966b983/0131028980v1.jpeg "Netzwerke brauchen besonderen Schutz. Dieser Schutz muss für interne und externe Verbindungen, z.B. mit mobilen Geräten und Cloud-Services, sichergestellt sein. (Bild: Pixabay / CC0 )")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/f9/41/f9414ce31e8109abe69fe576bf3bfdcb/0125224403v2.jpeg "Sicherheitsforschern ist es gelungen, einen Exploit zu entwickeln, der einen Designfehler in kontextbasierten Large Language Models ausnutzt. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/c4/abc4346adf0d031c478a138dd10e3ec9/0128637719v2.jpeg "Die Schwachstelle, die HashJack ausnutzt, besteht laut Cato darin, dass KI-Browser unsichtbare URL-Fragmente lokal verarbeiten und deren versteckte Befehle ungeprüft in den Kontext des KI-Assistenten übernehmen. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/c4/abc4346adf0d031c478a138dd10e3ec9/0128637719v2.jpeg "Die Schwachstelle, die HashJack ausnutzt, besteht laut Cato darin, dass KI-Browser unsichtbare URL-Fragmente lokal verarbeiten und deren versteckte Befehle ungeprüft in den Kontext des KI-Assistenten übernehmen. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/66/696689e3e57bf809128d7d77138d7f45/0131632745v2.jpeg "Apache OFBiz 24.09.06 behebt 17 Schwachstellen, darunter kritische Lücken mit CVSS 9.8 und 9.1 die nicht authentifizierte Codeausführung ermöglichen. (Bild: Gemini / KI-generiert)")