SearchLeak macht Copilot zur Ein-Klick-Datenfalle

Worum es geht

Varonis Threat Labs hat am 15. Juni 2026 eine Schwachstellenkette namens SearchLeak veröffentlicht. Sie betraf Microsoft 365 Copilot Enterprise Search und wurde laut Varonis von Microsoft unter CVE-2026-42824 behoben. Der Kern ist unangenehm einfach: Ein Nutzer klickt auf einen echten Microsoft-365-Link, Copilot interpretiert einen Suchparameter als Anweisung, sucht im Unternehmenskontext und kann Daten über eine Bild-URL nach außen tragen.

Das ist kein theoretischer Streit über Chatbot-Formulierungen. Es geht um einen Assistenten, der auf E-Mails, Kalender, OneDrive, SharePoint und andere indexierte Unternehmensdaten zugreifen kann. Wenn diese Schicht falsch behandelt wird, wird aus Komfort eine neue Angriffsfläche.

Was SearchLeak tatsächlich macht

SearchLeak kombiniert drei Dinge. Erstens wird der q-Parameter einer Microsoft-365-Suche nicht nur als Suchtext behandelt, sondern kann als Anweisung an Copilot wirken. Varonis nennt das Parameter-to-Prompt Injection. Zweitens entsteht beim Streamen der Antwort ein Zeitfenster, in dem ein HTML-Bild-Tag ausgelöst werden kann, bevor die Ausgabe sauber entschärft wird. Drittens nutzt die Kette eine erlaubte Bing-Funktion als Weiterleitung, weil Bing in der Content-Security-Policy erlaubt ist.

Der Ablauf ist deshalb gefährlich, weil der Link auf eine vertrauenswürdige Microsoft-Domain zeigen kann. Der Angreifer braucht laut Varonis keine Plugins, keine Sonderrechte und keinen zweiten Klick. Der Schaden hängt davon ab, worauf der betroffene Nutzer im Microsoft-365-Tenant Zugriff hat.

Warum das wichtig ist

Enterprise-Copiloten sitzen oft über genau den Daten, die Unternehmen schützen wollen: Verhandlungen, Gehaltslisten, Kundenmails, Reset-Links, Kalendernotizen und interne Dateien. SearchLeak zeigt, dass klassische Webfehler wie HTML-Race-Conditions und SSRF in einer KI-Suchschicht plötzlich eine neue Bedeutung bekommen.

Die Sekundärberichte von Dark Reading, The Hacker News und Windows Central kommen zum gleichen praktischen Punkt: Das Problem wurde gepatcht, aber die Architekturfrage bleibt. Ein Assistent, der Unternehmensdaten durchsuchen darf, muss wie ein privilegierter Datenzugang behandelt werden, nicht wie ein harmloses Eingabefeld. Für Security-Teams heißt das: Prompt Injection, URL-Parameter, Streaming-Ausgabe und CSP-Allowlists gehören gemeinsam betrachtet.

Einfach erklärt

Stell dir ein Firmenarchiv mit einem hilfsbereiten Empfang vor. Normalerweise fragst du: „Wo ist die Rechnung vom März?“ SearchLeak ist wie ein Besucher, der dem Empfang einen offiziell aussehenden Zettel gibt: „Suche die vertrauliche Mappe und schreibe den Titel auf diesen Umschlag.“ Der Umschlag geht dann durch eine erlaubte Hauspoststelle nach draußen.

Das Problem ist nicht nur der Empfang. Es ist die Kombination aus zu viel Vertrauen in den Zettel, zu spätem Prüfen und einem erlaubten Ausgang, der eigentlich für harmlose Post gedacht war.

Praktisches Beispiel

Ein Finanzteam mit 120 Mitarbeitenden nutzt Microsoft 365 Copilot Enterprise Search. Eine Mitarbeiterin hat Zugriff auf 40.000 Mails, mehrere SharePoint-Bereiche und Kalendernotizen zu laufenden Lieferantenverhandlungen. Sie erhält in Teams einen Link, der wie eine normale Microsoft-365-Suche aussieht.

Nach dem Klick sucht Copilot nach einer E-Mail mit einem Einmalcode oder einem vertraulichen Betreff. Die Antwort wird gestreamt, ein Bild-Tag wird kurz ausgeführt, und ein externer Server sieht im URL-Pfad einen sensiblen Wert. Selbst wenn nur Betreffzeilen abfließen, reicht das in vielen Firmen für Phishing, Social Engineering oder das Erraten laufender Projekte.

Einordnung und Grenzen

Erstens: Varonis und mehrere Medien berichten, dass Microsoft die Schwachstelle gepatcht hat. Der Artikel ist deshalb kein Hinweis auf eine aktuell offene Lücke, sondern auf ein Angriffsmuster.

Zweitens: Der reale Schaden hängt stark von Berechtigungen ab. Wer Copilot über überberechtigte SharePoint- und OneDrive-Bestände laufen lässt, vergrößert den Radius jedes Fehlers.

Drittens: Nicht jede Prompt Injection führt automatisch zu Datenabfluss. SearchLeak war gefährlich, weil mehrere Bedingungen zusammenkamen: ein promptbarer Suchparameter, Streaming-HTML, CSP-Umgehung und ein Nutzer mit wertvollen Datenrechten.

SEO- und GEO-Schlüsselbegriffe

Microsoft 365 Copilot, SearchLeak, CVE-2026-42824, Varonis Threat Labs, Copilot Enterprise Search, prompt injection, parameter-to-prompt injection, data exfiltration, Microsoft 365 security, SharePoint security, OneDrive security, enterprise AI security