Lỗ hổng Microsoft Copilot cho phép đánh cắp dữ liệu bằng một cú nhấp chuột

[WhiteHat Team]

Các nhà nghiên cứu từ Varonis Threat Labs vừa công bố một chuỗi lỗ hổng nghiêm trọng trên Microsoft 365 Copilot Enterprise có thể cho phép tin tặc đánh cắp dữ liệu nhạy cảm chỉ sau một lần nhấp chuột vào liên kết được ngụy trang dưới tên miền Microsoft hợp lệ. Lỗ hổng được định danh CVE-2026-42824 và đặt tên là SearchLeak.
​

​

Theo Varonis, SearchLeak không phải là một lỗ hổng đơn lẻ mà là chuỗi tấn công được xây dựng từ nhiều điểm yếu tưởng chừng không liên quan. Khi được kết hợp đúng cách, chúng có thể biến Microsoft 365 Copilot từ một trợ lý AI phục vụ công việc thành công cụ thu thập và rò rỉ dữ liệu ngoài ý muốn. Nếu cuộc tấn công diễn ra thành công, tin tặc có khả năng tiếp cận gần như mọi thông tin mà nạn nhân được phép truy cập trong hệ thống Microsoft 365, bao gồm email, lịch làm việc, tài liệu nội bộ, mã xác thực đa yếu tố (MFA) và nhiều dữ liệu nhạy cảm khác.

Điều khiến SearchLeak trở nên đáng chú ý là không có thành phần nào trong chuỗi khai thác này thực sự mới. Prompt injection, race condition hay SSRF đều là những kỹ thuật đã được nghiên cứu từ lâu. Tuy nhiên, nghiên cứu của Varonis cho thấy khi các công cụ AI được tích hợp sâu vào môi trường doanh nghiệp và được cấp quyền truy cập lượng lớn dữ liệu nội bộ, những điểm yếu tưởng chừng ít nguy hiểm có thể được kết hợp để tạo thành một con đường rò rỉ dữ liệu hoàn chỉnh.

Khác với nhiều hình thức tấn công đánh cắp dữ liệu truyền thống, SearchLeak không đòi hỏi phần mềm độc hại hay chuỗi tương tác phức tạp từ phía nạn nhân. Chỉ một cú nhấp chuột vào URL được thiết kế đặc biệt cũng đủ để kích hoạt quá trình khai thác, cho phép Copilot tự động truy xuất và làm lộ các dữ liệu mà người dùng có quyền tiếp cận trong hệ thống Microsoft 365.

Thay vì dựa vào một điểm yếu riêng lẻ, SearchLeak hoạt động bằng cách liên kết nhiều lỗ hổng tưởng chừng độc lập thành một chuỗi khai thác hoàn chỉnh. Theo Varonis, cuộc tấn công lần lượt lợi dụng lỗi Parameter-to-Prompt (P2P) Injection, lỗi race condition trong quá trình hiển thị nội dung HTML và kỹ thuật Server-Side Request Forgery (SSRF) thông qua dịch vụ tìm kiếm hình ảnh của Bing.

Mắt xích đầu tiên trong chuỗi tấn công là lỗi Parameter-to-Prompt (P2P) Injection. Lỗ hổng này xuất phát từ cách Copilot xử lý tham số "q" trong chức năng tìm kiếm. Thay vì xem đây đơn thuần là dữ liệu đầu vào, hệ thống lại diễn giải nội dung bên trong như các chỉ thị dành cho mô hình AI. Điều này mở đường cho kẻ tấn công cài cắm các lệnh độc hại, yêu cầu Copilot truy xuất dữ liệu từ hộp thư, tài liệu hoặc các nguồn thông tin nội bộ khác rồi đưa kết quả vào nội dung phản hồi.

Khác với các cuộc tấn công prompt injection truyền thống vốn thường yêu cầu kẻ tấn công đưa nội dung độc hại vào nguồn dữ liệu mà AI xử lý, SearchLeak cho phép các chỉ thị tấn công được truyền trực tiếp thông qua tham số URL. Nói cách khác, một liên kết Microsoft tưởng như hợp lệ có thể trở thành công cụ điều khiển Copilot thực hiện các truy vấn thay mặt người dùng mà không làm dấy lên nghi ngờ từ các cơ chế bảo vệ thông thường.

Sau khi vượt qua lớp kiểm soát đầu tiên, chuỗi khai thác tiếp tục lợi dụng một lỗi race condition trong quá trình hiển thị phản hồi của Copilot. Dù Microsoft đã triển khai cơ chế ngăn chặn HTML nguy hiểm bằng cách chuyển nội dung sang dạng mã nguồn, thao tác này chỉ diễn ra sau khi phản hồi được tạo xong. Điều đó tạo ra một khoảng thời gian ngắn nhưng đủ để các thẻ HTML do kẻ tấn công chèn vào được trình duyệt xử lý và phát sinh các yêu cầu mạng ngoài ý muốn trước khi nội dung bị vô hiệu hóa.

Để vượt qua các giới hạn của Content Security Policy (CSP), chuỗi khai thác tiếp tục lợi dụng tính năng "Search by Image" của Bing. Do miền Bing nằm trong danh sách được CSP cho phép, dữ liệu bị đánh cắp có thể được nhúng vào URL tìm kiếm hình ảnh. Máy chủ Bing sau đó sẽ thực hiện yêu cầu phía máy chủ để xử lý nội dung và vô tình chuyển tiếp dữ liệu đến hạ tầng do kẻ tấn công kiểm soát.

Trong điều kiện bình thường, CSP sẽ ngăn trình duyệt gửi dữ liệu trực tiếp tới hạ tầng do kẻ tấn công kiểm soát. Tuy nhiên, Bing lại là một trong những miền được Microsoft tin cậy và cho phép truy cập. Bằng cách lợi dụng tính năng Search by Image, các nhà nghiên cứu đã chứng minh dữ liệu có thể được đưa vào URL tìm kiếm hình ảnh để Bing tự động truy xuất và xử lý. Kết quả là hạ tầng Bing vô tình trở thành một "trạm trung chuyển", cho phép dữ liệu bị chuyển ra ngoài mà không vi phạm các chính sách bảo mật vốn được thiết kế để ngăn chặn hành vi này.

Theo Varonis, sự nguy hiểm của SearchLeak không nằm ở từng lỗ hổng riêng lẻ mà ở cách các thành phần này được kết hợp để tạo thành một kênh rò rỉ dữ liệu hoàn chỉnh. Nghiên cứu cũng cho thấy các hệ thống AI doanh nghiệp đang mở ra những bề mặt tấn công mới, nơi các kỹ thuật khai thác web truyền thống có thể được kết hợp với khả năng xử lý ngôn ngữ của AI để vượt qua nhiều cơ chế bảo vệ hiện có.

SearchLeak cũng cho thấy thách thức lớn nhất của bảo mật AI không nằm ở bản thân mô hình ngôn ngữ mà ở cách các hệ thống này được kết nối với dữ liệu doanh nghiệp. Khi một trợ lý AI vừa có khả năng hiểu ngôn ngữ tự nhiên, vừa được cấp quyền truy cập email, tài liệu và các nguồn dữ liệu nội bộ, những lỗ hổng web vốn quen thuộc có thể tạo ra các kịch bản tấn công hoàn toàn mới. Trong trường hợp này, Copilot không bị khai thác để thực thi mã hay chiếm quyền điều khiển hệ thống, mà bị biến thành một công cụ tìm kiếm và thu thập dữ liệu hoạt động thay mặt nạn nhân.

Microsoft cho biết đã khắc phục toàn lỗ hổng CVE-2026-42824 ở phía máy chủ và khách hàng không cần thực hiện hành động bổ sung. Tuy nhiên, các chuyên gia khuyến nghị doanh nghiệp tiếp tục giám sát các truy vấn Copilot bất thường, rà soát danh sách miền được CSP cho phép và áp dụng các biện pháp kiểm soát chặt chẽ hơn đối với dữ liệu mà các trợ lý AI có thể truy cập.​