Microsoft 365 Copilot’ta Tespit Edilen Kritik Açık Tek Tıklamayla Veri Hırsızlığına Yol Açabiliyordu
Microsoft, Microsoft 365 Copilot Enterprise’da tespit edilen ve “SearchLeak” adı verilen kritik güvenlik açığı zincirini giderdi. Araştırmacılar, özel olarak hazırlanmış bir bağlantının tıklanmasıyla kullanıcıların e-posta, OneDrive ve SharePoint verilerinin sızdırılabildiğini açıkladı. CVE-2026-42824 olarak takip edilen açık, yapay zeka sistemlerinin eski güvenlik zafiyetlerini daha etkili saldırılara dönüştürebileceğine ilişkin yeni bir örnek olarak değerlendiriliyor.
Kurumsal veri güvenliği şirketi Varonis tarafından ortaya çıkarılan ve “SearchLeak” adı verilen saldırı zincirinin, Microsoft 365 Copilot Enterprise kullanıcılarının hassas verilerini tek tıklamayla dışarı sızdırabilecek kritik bir güvenlik riski oluşturduğu bildirildi. Microsoft’un ay başında giderdiği açık, CVE-2026-42824 kimliğiyle kayda geçti ve kritik önem derecesiyle sınıflandırıldı.
Üç Aşamalı Saldırı Zinciri
Varonis araştırmacıları, saldırının tek bir güvenlik açığından değil, birbirinden bağımsız üç farklı zafiyetin bir araya getirilmesiyle mümkün hale geldiğini belirtti. Araştırmacılar, bu zincirin “parameter-to-prompt injection”, HTML işleme sırasında oluşan bir yarış durumu ve Bing üzerindeki sunucu taraflı istek sahteciliği (SSRF) zafiyetinden oluştuğunu açıkladı.
Araştırmacılar, “Veriyi dışarı aktarmak için saldırgan, Copilot’a kullanıcının e-postalarını aramasını, başlığı çıkarmasını ve bunu bir görsel URL’sine yerleştirmesini söyleyen bir bağlantı oluşturuyor. Kullanıcı herhangi bir şey yazmıyor. Bağlantıya tıklıyor ve geri kalanını Copilot gerçekleştiriyor.” ifadelerini kullandı.
Microsoft Copilot Enterprise Search’ün, standart Copilot’tan farklı olarak şirket verileri üzerinde arama yaptığı ve e-postalar, toplantılar, SharePoint dosyaları ile OneDrive içeriklerine erişebildiği belirtildi. Bu kapsamda saldırganların bağlantı içindeki “q” parametresine özel komutlar yerleştirerek Copilot’u belirli verileri aramaya yönlendirebildiği aktarıldı.
HTML ve Bing Üzerinden Veri Sızdırma
Araştırmada ikinci aşamanın, Copilot’un çıktıyı kullanıcıya aktarırken oluşan HTML işleme sürecindeki kısa süreli bir açıklıktan yararlandığı kaydedildi. Bu süreçte saldırgan tarafından oluşturulan HTML içeriğinin, güvenlik önlemleri devreye girmeden önce tarayıcı tarafından işlenebildiği belirtildi.
Üçüncü aşamada ise Bing’in “Görselle Arama” özelliğindeki SSRF davranışının kullanıldığı ifade edildi. Araştırmacılar, Bing’in saldırganın belirlediği adrese istek göndererek içerik çektiğini ve bu sayede içerik güvenlik politikası (CSP) korumalarının aşılabildiğini bildirdi.
Varonis araştırmacıları, “Bing farkında olmadan veri sızdırma için bir ara sunucuya dönüşüyor. CSP izin listesi arkasına gizlenmiş klasik bir SSRF örneğiyle karşı karşıyayız.” değerlendirmesinde bulundu.
Kullanıcı Fark Etmeden Gerçekleşebiliyordu
Araştırmaya göre saldırı sırasında kurban yalnızca Copilot’un kısa süreliğine işlem yaptığını görüyor, ancak arka planda e-posta içerikleri, erişim kodları, parolalar, toplantı detayları ve belgeler gibi veriler saldırganın sunucusuna yönlendirilebiliyordu.
Microsoft’un güvenlik güncellemesiyle açığı kapattığı ve kullanıcıların ek bir işlem yapmasına gerek olmadığı belirtildi. Araştırmacılar, yapay zeka destekli sistemlerin eski güvenlik açıklarını daha etkili ve beklenmedik saldırı senaryolarına dönüştürebildiğine dikkat çekerek benzer risklere karşı sürekli güvenlik denetimlerinin önemini vurguladı.
Kaynak: Beykozun Sesi
Tepkiniz Nedir?
Beğenmek
0
Beğenmemek
0
Aşk
0
Eğlenceli
0
Sinirli
0
Üzgün
0
Vay
0
