Olayın Önemi
Bir Microsoft bağlantısına tek bir tıklama, saldırganların Microsoft 365 Copilot Enterprise Search üzerinden e-posta, takvim ayrıntıları ve indekslenmiş dosyalara erişmesini sağlama riski taşıyordu. Bu durum, siber güvenlik açısından ciddi bir tehdit oluşturmakta ve kullanıcıların hassas bilgilerinin ifşasına yol açabilmekte.
Saldırı Nasıl Çalışıyor?
Varonis Threat Labs, üç farklı açığı bir araya getirerek “SearchLeak” adı verilen tek tıklama ile veri sızdırma yolunu ortaya çıkardı. Saldırı, gerçek bir microsoft.com alanına yönlendirildiği için, geleneksel anti-phishing ve URL filtreleme araçları tarafından fark edilme olasılığı düşüktü.
Microsoft tarafından CVE-2026-42824 kodu ile kritik olarak sınıflandırıldı. Microsoft’un CVSS puanı 6.5 iken, Ulusal Güvenlik Veritabanı (NVD) 7.5 olarak belirledi. Microsoft, hatayı arka planda gidermeyi başardı, bu nedenle kullanıcıların endişelenmesine gerek yok.
SearchLeak, bir komut enjeksiyonu olarak tanımlanan bir açığı içeriyor. Bu açık, bilgilerin bir ağ üzerinden ifşa edilmesine yol açıyor. Pratikte, SearchLeak, AI’ya özgü bir zayıflığı iki eski web hatası ile birleştiriyor ve her bir bağlantı, diğerinin gereksinimini oluşturuyor.
- Giriş noktası q parametresi olup, Copilot Enterprise Search URL’sinde doğal dil sorgusu için tasarlanmıştır.
- Saldırgan, Copilot’a e-posta kutusunu araması ve alınan e-posta başlığını bir resim URL’sine yerleştirmesi için bir URL yazar.
- Zamanlama nedeniyle tarayıcı, gelen akışı işlerken yanlışlıkla bir
bloğu oluşturan Copilot çıktısını render eder. - Son aşamada, veriler sayfanın İçerik Güvenliği Politikası’nı (CSP) geçer ve saldırganın sunucusundan alınır.
Etkilenen Sistemler
Copilot Enterprise, kullanıcıların Microsoft Graph erişimi ile her şeye ulaşabilir. Bu nedenle, saldırgan, kullanıcı hiç giriş yapmadan bu erişimi miras alır.
Etkilenen veriler arasında:
- Bir kez kullanılabilen kodlar, MFA kodları ve şifre sıfırlama bağlantıları gibi kayıtlı bilgiler bulunur.
- Özellikle kullanıcıların e-posta gelen kutularındakileri hedef alan bir saldırı gerçekleştirmek mümkün olabilir.
- Takvim davetleri, toplantı notları ve SharePoint veya OneDrive dosyaları erişilebilir durumdadır.
Çözüm ve Korunma
Microsoft, bu açığı arka planda gidermiştir ve Copilot Enterprise, yönetilen bir hizmet olduğundan, tenant yöneticileri bu hatalı bileşenleri yamanın ya da yapılandırmanın bir yolunu bulamazlar. Ancak, kullanıcılar aşağıdaki önlemleri alabilir:
- Copilot Search URL’lerinde kodlanmış yük veya q parametresindeki HTML’leri kontrol edin.
- Bing’in görüntü uç noktalarına alışılmadık dışa giden istekleri gözlemleyin.
- Veri erişim yönetimini sıkılaştırın; böylece Copilot daha az veri indeksler ve gelecekteki olası sızıntılardan etkilenen veri miktarını azaltabilirsiniz.
Sonuç
Kullanıcılar, Microsoft 365 platformlarında düzenli güncellemeler yapmalı ve güvenlik duvarı ayarlarını gözden geçirmelidir. Ayrıca, Copilot kullanarak yapılan işlemleri dikkatle incelemeleri, olası istekleri takip etmeleri büyük önem taşımaktadır. Verilerinizi korumak için gerekli önlemleri almayı unutmayın.
