Lekken maakten diefstal zakelijke mails mogelijk met klik op link Microsoft.com

In dit artikel:

Beveiligingsbedrijf Varonis ontdekte een serie zwaktes — door hen SearchLeak genoemd, CVE-2026-42824 — waarmee zakelijke e-mails konden uitlekken als een gebruiker op een link naar Microsoft.com klikte. De aanval misbruikte Copilot Enterprise Search (de zoekfunctie die toegang heeft tot bedrijfs-e-mails en documenten) door een opdracht in de URL mee te geven die Copilot meteen uitvoerde. Die opdracht plaatste onderwerpregels als afbeeldingen in de pagina-DOM tijdens het samenstellen van het antwoord. Copilot plaatste vervolgens een oproep naar de omgekeerde afbeeldingenzoeker van Bing, wat in een bedrijfsomgeving is toegestaan, en in de serverlogs van de aanvaller verscheen dan de bestandsnaam van die afbeelding — vaak met gedeelde e-mailinhoud in de naam, bijvoorbeeld jouwbeveiligingscodeis1337.jpg. Microsoft heeft het lek inmiddels gedicht en zegt dat zakelijke klanten geen actie hoeven te ondernemen; of het misbruik is voorgekomen, is niet gemeld. Onderzoekers wijzen erop dat dergelijke ketens van kwetsbaarheden waardevol zijn voor aanvallers en vaker in verschillende producten zichtbaar worden.