Auf den Punkt: Drei verkettete Bugs in Microsoft 365 Copilot ermöglichten Angreifern, über einen echten microsoft.com-Link Unternehmensdaten abzuziehen, da traditionelle Anti-Phishing-Filter legitimate Quellen nicht blockierten.
Forscher der Varonis Threat Labs entdeckten eine Kettenchwachstelle in Microsoft 365 Copilot Enterprise Search, die es Angreifern ermöglicht hätte, Mails, Kalendereinträge und indexierte Dateien durch einen Klick auf einen legitimen Microsoft-Link zu exfiltrieren.
Das Angriffsszenario, das Varonis Threat Labs unter dem Namen SearchLeak dokumentiert hat, verband drei Schwachstellen zu einem One-Click-Exfiltrationsmechanismus. Ein Angreifer konnte einen manipulierten Link auf eine echte microsoft.com-Domain erstellen – nicht auf eine Phishing-Domain. Dadurch umging die Attacke traditionelle URL-Filter und Anti-Phishing-Tools, da diese legitime Microsoft-Domains typischerweise nicht blockieren.
Für einen CISO bedeutet dieses Szenario ein Governance-Risiko auf mehreren Ebenen: Erstens zeigt sich eine Vertrauenskette-Kompromittierung – der Angreifer nutzt gerade die Legitimität des Providers aus, um Zugriff zu erlangen. Zweitens war die Datenexfiltration ohne weiteren Authentifizierungsschritt möglich, sobald der Nutzer den Link angeklickt hatte. Drittens hatten traditionelle Schutzmaßnahmen keine Möglichkeit, diese Angriffsvariante zu erkennen, solange die Domäne echt war.
Varonis hat die Schwachstelle an Microsoft gemeldet. Es wird empfohlen, den Status der Remediation zu überprüfen und parallel zu evaluieren, wie Unternehmensdaten in Copilot Enterprise Search exponiert sind. Zusätzlich sollte überprüft werden, ob Zugriffskontrollrichtlinien auf Copilot-Ebene vorhanden sind und ob Aktivitätsloggen verdächtige Datenzugriffe aufzeichnen.
Quelle: thehackernews.com · Erschienen 15. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.