An ninh mạng

Lỗ hổng ‘SearchLeak’ trên Microsoft 365 Copilot: Chỉ một cú click để lộ lọt dữ liệu nhạy cảm

Các nhà nghiên cứu tại Varonis Threat Labs vừa phát hiện lỗ hổng nghiêm trọng mang tên SearchLeak, cho phép kẻ tấn công đánh cắp email, tệp tin và mã xác thực MFA thông qua Microsoft 365 Copilot chỉ...

Nguyen Hung
16 Tháng 6, 2026 3 Min Read
2 0

Một lỗ hổng bảo mật nghiêm trọng trên Microsoft 365 Copilot, được các chuyên gia tại Varonis Threat Labs đặt tên là SearchLeak, vừa được công bố. Lỗ hổng này cho phép kẻ tấn công đánh cắp thông tin nhạy cảm như email, dữ liệu lịch và các tệp tin được lập chỉ mục mà không cần người dùng thực hiện thêm bất kỳ thao tác nào ngoài việc click vào một đường link đáng tin cậy.

Table Of Content

Cơ chế tấn công SearchLeak

SearchLeak là kết quả của việc kết hợp ba lỗ hổng riêng biệt thành một chuỗi tấn công (exploit chain). Do đường dẫn tấn công sử dụng tên miền chính chủ microsoft.com, các công cụ chống phishing và lọc URL truyền thống gần như không thể phát hiện.

  • Parameter-to-Prompt Injection: Kẻ tấn công lợi dụng tham số ‘q’ trong URL của Copilot Enterprise Search. Thay vì chỉ nhận truy vấn tìm kiếm thông thường, Copilot lại diễn giải các đoạn mã độc hại được chèn vào như những chỉ dẫn thực thi.
  • Race Condition trong hiển thị phản hồi: Lỗ hổng này liên quan đến cách trình duyệt render dữ liệu. Trong khi Microsoft sử dụng các thẻ bảo vệ để ngăn chặn mã độc, kẻ tấn công đã lợi dụng độ trễ giữa quá trình render và quá trình làm sạch dữ liệu (sanitizer) để thực thi yêu cầu trước khi hệ thống kịp ngăn chặn.
  • Bypass Content Security Policy (CSP): Kẻ tấn công đã vượt qua chính sách bảo mật CSP bằng cách sử dụng endpoint ‘Search by Image’ của Bing làm proxy. Vì Bing nằm trong danh sách cho phép (allowlist) của Microsoft, yêu cầu truy xuất dữ liệu từ máy chủ của kẻ tấn công được thực hiện thông qua hạ tầng của Bing, giúp che giấu hành vi đánh cắp dữ liệu.

Nguy cơ đối với doanh nghiệp

Khi nạn nhân click vào đường link, Copilot sẽ tự động tìm kiếm dữ liệu mà người dùng đó có quyền truy cập thông qua Microsoft Graph. Kẻ tấn công có thể thu thập được các mã xác thực MFA, đường dẫn đặt lại mật khẩu, thông tin tài chính, kế hoạch kinh doanh và nhiều dữ liệu nhạy cảm khác từ OneDrive hoặc SharePoint.

Microsoft đã gán mã CVE-2026-42824 cho lỗ hổng này và thực hiện các biện pháp khắc phục ở phía backend. Do Copilot Enterprise là một dịch vụ được quản lý (managed service), quản trị viên hệ thống không thể tự can thiệp vá lỗi mà cần tuân thủ các cập nhật từ phía Microsoft.

Khuyến nghị cho quản trị viên

Để giảm thiểu rủi ro từ các lỗ hổng tương tự trong tương lai, các tổ chức nên:

  • Giám sát chặt chẽ các URL tìm kiếm của Copilot có chứa payload hoặc mã HTML bất thường trong tham số ‘q’.
  • Kiểm tra các yêu cầu outbound bất thường hướng tới các endpoint hình ảnh của Bing.
  • Thắt chặt quản trị quyền truy cập dữ liệu (data-access governance) để hạn chế phạm vi dữ liệu mà Copilot có thể lập chỉ mục, từ đó giảm thiểu tác động nếu xảy ra sự cố rò rỉ dữ liệu.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept