Kembali ke ShazfaTech Lihat Semua Artikel
Tools Cyber Security
Cacat Kopilot Microsoft 365 Sekali Klik Bisa Membiarkan Penyerang Mencuri Email, File, dan Kode MFA
thehackernews. com 16 Juni 2026 PT Shazfatech Digital Solution

Cacat Kopilot Microsoft 365 Sekali Klik Bisa Membiarkan Penyerang Mencuri Email, File, dan Kode MFA

Para peneliti di Varonis Threat Labs merantai tiga bug ke dalam jalur eksfiltrasi sekali klik yang mereka sebut SearchLeak. Karena tautan tersebut mengarah ke domain Microsoft.

2 menit baca Tools Cyber Security 1 kali dibaca

Sumber: thehackernews. com

Insight ini dipublikasikan oleh PT Shazfatech Digital Solution dengan brand ShazfaTech. Sumber asli tetap dicantumkan agar pembaca dapat menelusuri referensi utama dan konteks artikel secara lebih utuh.

Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Satu klik pada tautan Microsoft tepercaya dapat menyebabkan penyerang menarik email, detail kalender, dan file yang diindeks dari Microsoft 365 Copilot Enterprise Search.

Para peneliti di Varonis Threat Labs merantai tiga bug ke dalam jalur eksfiltrasi sekali klik yang mereka sebut SearchLeak. Karena tautan tersebut mengarah ke domain Microsoft. com asli, alat anti-phishing dan pemfilteran URL tradisional kemungkinan besar tidak akan menandainya.

Bacaan Lanjutan Seputar Tools Cyber Security

Jika Anda ingin memperdalam topik ini, beberapa artikel berikut masih berada dalam konteks yang berhubungan dan layak dibaca setelah artikel ini.

Varonis menyebutnya injeksi Parameter-to-Prompt. Penyerang menulis URL yang memberitahu Copilot untuk mencari kotak surat, mengambil judul email, dan menempatkannya di dalam URL gambar. Korban tidak mengetik apa pun. Mereka mengklik, dan Copilot melakukan pekerjaannya.

Tautan terakhir mendapatkan data yang melewati Kebijakan Keamanan Konten laman. CSP di m365. cloud. microsoft memblokir gambar dari domain arbitrer, namun mengizinkan *. bing. com. Titik akhir "Search by Image" Bing menerima URL gambar dan mengambilnya di sisi server untuk dianalisis. Arahkan pengambilan tersebut ke server penyerang dengan teks curian yang dikodekan di jalurnya, dan Bing mengambilnya. CSP browser tidak pernah berlaku, karena permintaan berasal dari infrastruktur Bing. Bing menjadi proxy eksfiltrasi. Daftar yang diizinkan CSP melakukan penyembunyian.

Gabungkan: korban mengklik, Copilot mencari data mereka, respons menyematkan nilai seperti subjek email di URL gambar Bing, browser memanggil Bing selama streaming, dan Bing menarik URL penyerang. Penyerang membacanya dari log mereka sendiri, misalnya, permintaan untuk /Your_Security_Code_847291/img. png.

SearchLeak adalah kedua kalinya Varonis menunjukkan pola ini. Peneliti Varonis, Dolev Taler, mendemonstrasikan teknik satu klik yang sama dalam serangan Reprompt sebelumnya terhadap Copilot Personal, dan teknik ini bertahan terhadap Enterprise Search meskipun ada pagar pembatas tambahan yang seharusnya diterapkan oleh tingkat tersebut.

Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.

Baca sumber asli dari thehackernews. com

Lihat Semua Artikel Tentang Redaksi Kebijakan Editorial Profil Publisher Kontak Privasi

Topik yang Berhubungan

Lihat Semua Artikel

Yang Paling Sering Dibaca

Lihat Semua Artikel