Een kritieke kwetsbaarheid in Microsoft 365 Copilot maakte het mogelijk om met één klik toegang te krijgen tot gevoelige bedrijfsgegevens van een slachtoffer. Via een speciaal geprepareerde zoeklink konden aanvallers e-mails en bestanden uit mailboxen, SharePoint en OneDrive buitmaken en bovendien informatie uit de agenda van een gebruiker achterhalen. Microsoft heeft het lek, geregistreerd als CVE-2026-42824, op 4 juni gedicht. Details over de kwetsbaarheid zijn nu openbaar gemaakt door onderzoekers van securitybedrijf Varonis.
Opvallend is dat het lek officieel valt onder de categorie ‘information disclosure’, een type kwetsbaarheid dat doorgaans niet als kritiek wordt aangemerkt. In dit geval is dat anders, omdat de aanval relatief eenvoudig uit te voeren was en potentieel toegang gaf tot zeer gevoelige bedrijfsinformatie. De enige noodzakelijke handeling was dat een slachtoffer op een zoeklink klikte.
Kritiek lek
De kwetsbaarheid had betrekking op organisaties die gebruikmaken van Microsoft Copilot Enterprise Search. Deze functie verschilt van de gewone Copilot-chat doordat zij bedoeld is om bedrijfsdata te doorzoeken. Denk daarbij aan e-mails, documenten in SharePoint en bestanden in OneDrive. Juist die brede toegang maakt de impact van het lek groot.
Volgens de onderzoekers kon een aanvaller een normale zoeklink manipuleren door er een speciale parameter aan toe te voegen. Waar de link normaal gesproken alleen een zoekopdracht uitvoert, werd de toegevoegde parameter door Copilot geïnterpreteerd als instructie. Daardoor kon Copilot worden aangezet tot het doorzoeken van de mailbox van de gebruiker. Vervolgens kon de chatbot een antwoord genereren waarin informatie uit e-mails werd verwerkt in een img-tag. Via een verzoek aan Bing kon die informatie uiteindelijk bij de aanvaller terechtkomen.
Gevaarlijke HTML
Microsoft had al maatregelen genomen om te voorkomen dat antwoorden van de chatbot gevaarlijke HTML zouden bevatten. De uitvoer van Copilot wordt bijvoorbeeld in zogeheten code blocks geplaatst, waardoor de browser die normaal als tekst behandelt en niet als actieve opmaak. De onderzoekers ontdekten echter dat die beveiliging te laat werd toegepast. Tijdens het genereren van het antwoord werd de HTML tijdelijk in de DOM, het document object model van de browser, gerenderd. Daardoor kon de browser het verzoek alsnog versturen voordat de bescherming volledig actief was.
Alert blijven
Microsoft heeft de kwetsbaarheid inmiddels gepatcht. Volgens de beschikbare informatie hoeven gebruikers en organisaties geen aanvullende actie te ondernemen om beschermd te zijn. Toch adviseert Varonis securityteams om alert te blijven op verdachte Copilot-zoeklinks. Daarbij gaat het vooral om links waarin de q-parameter HTML-tags bevat of instructies om gegevens aan image-url’s toe te voegen.
Advies
Voor eindgebruikers blijft het advies om voorzichtig te zijn met links, ook wanneer die ogenschijnlijk naar vertrouwde Microsoft-diensten verwijzen. Het incident laat zien dat AI-functionaliteit binnen kantoorsoftware nieuwe aanvalsroutes kan openen. Copilot krijgt toegang tot steeds meer bedrijfsdata, en juist daardoor wordt het belangrijker om niet alleen de chatbot zelf, maar ook de manier waarop opdrachten, links en zoekopdrachten worden verwerkt streng te beveiligen.