Varonis Threat Labs araştırmacıları, Microsoft 365 Copilot Enterprise tarafında SearchLeak adını verdikleri bir saldırı senaryosu yayımladı. Microsoft’un CVE-2026-42824 koduyla takip ettiği bu bulgu, kurumsal arama katmanının (Enterprise Search) tek bir bağlantı üzerinden potansiyel bir veri sızıntısı senaryosu oluşturabileceğini gösteriyor. Olayın asıl dikkat çekici yanı, doğrudan Copilot’tan ziyade AI asistanlarının kurumsal verilere erişirken kullandığı izin modeli ve indeksleme mekanizmasının yeni bir güvenlik risk alanı oluşturması.

Microsoft 365 Copilot SearchLeak Olayının Özeti

Paylaşılan teknik analize göre saldırı, tek başına ciddi sayılmayan üç ayrı eksikliğin zincirlenmesiyle çalışıyor. Senaryoda kurban gerçek bir microsoft.com bağlantısına tıkladığında, Copilot Enterprise Search arka planda kullanıcının posta kutusu, takvim bilgileri ve indekslenmiş SharePoint/OneDrive dosyaları gibi içeriklerde arama yapıyor; elde edilen veri ise kullanıcı fark etmeden dışarı taşınabiliyor.

Bağlantının gerçek bir microsoft.com alan adına işaret etmesi, geleneksel anti-phishing korumaları ve URL filtering kontrolleri açısından önemli bir nokta. Araştırmacıların aktardığına göre bu yapı, standart filtreleme araçlarının bağlantıyı şüpheli olarak işaretleme ihtimalini düşürüyor.

Risk derecelendirmesi tarafında farklı değerlendirmeler bulunuyor. Microsoft CVSS (Common Vulnerability Scoring System – güvenlik açıklarının risk seviyesini ölçen puanlama sistemi) puanını 6.5 olarak belirtirken, NVD tarafında bu değer 7.5 olarak listeleniyor.

Önemli nüans: Kamuya açık bilgilere göre aktif istismar gözlemlenmiş değil. Varonis yalnızca bir PoC (Proof of Concept – güvenlik açığının çalıştığını gösteren test senaryosu) sundu. Microsoft, güvenlik açığını sunucu tarafında yaptığı düzeltmeyle giderdi ve kullanıcı tarafında ek bir manuel yama gereksinimi oluşmadı.

Teknik Olarak Neden Dikkat Çekici?

Bildirilen senaryoda saldırı üç aşamadan oluşuyor. İlk halka, Copilot Enterprise Search URL’indeki q parametresinin doğrudan bir prompt gibi işlenmesi — araştırmacıların “parameter-to-prompt injection” dediği araştırmacıların “parameter-to-prompt injection” olarak tanımladığı LLM tabanlı sistemlere özgü yeni bir saldırı tekniği. İkinci halka, AI yanıtı stream edilirken bir <img> etiketinin çıktı sanitizasyonu devreye girmeden önce tetiklenmesini sağlayan bir HTML rendering race condition. Üçüncü halka ise, Bing’in görsel arama uç noktası üzerinden bir SSRF (server-side request forgery) ile Content Security Policy’nin atlatılması; istek Microsoft altyapısından çıktığı için CSP kontrolü etkisiz kalıyor.

SearchLeak saldırı zinciri: prompt injection, HTML rendering race condition ve SSRF/CSP atlatma halkalarının birleşmesi, kurumsal veri erişimini sızıntıya dönüştürüyor.

Buradaki esas önemli nokta şu: SSRF ve sanitizer race condition gibi sınıflar yeni değil. Yeni olan, prompt injection’ın bu eski zafiyet sınıflarını yeniden ulaşılabilir hale getirmesi. AI asistanı, tek başına düşük riskli görünen güvenlik açıklarını zincirleyerek gerçek bir saldırı senaryosuna dönüştürebiliyor.

Copilot Enterprise’ın kullanıcının mevcut izinleriyle çalıştığı belirtiliyor; dolayısıyla istismar başarılı olduğunda erişilen veri, hedef kullanıcının zaten erişebildiği kurumsal içerikle ilişkili oluyor. Kaynakların aktardığı kadarıyla, bu kapsam e-posta içerikleri, parola sıfırlama bağlantıları, takvim ve toplantı detayları ile indekslenmiş dosyaları içerebiliyor.

Kurumlar Ne Kontrol Etmeli?

Bu olay, yapay zeka sistemlerinin doğrudan güvensiz olduğu anlamına gelmiyor; ancak kurumsal veri erişim mimarisinin yeni güvenlik kontrolleri gerektirdiğini gösteriyor. Ancak kurumsal veri erişimi, indekslenmiş içerik ve izin modeli açısından izlenmesi gereken bir sinyal niteliğinde. SOC ve IT ekipleri için pratik anlamda öne çıkan birkaç başlık var.

İlk olarak, Microsoft 365 ortamında kullanıcıların hangi verilere erişebildiğini düzenli gözden geçirmek ve SharePoint, OneDrive, Teams ile Exchange üzerindeki fazla geniş izinleri daraltmak gerekiyor; çünkü Copilot’un eriştiği veri kapsamı doğrudan bu izinlere bağlı. İkincisi, Sensitive Data Labeling (hassas verilerin sınıflandırılması) ve DLP – Data Loss Prevention (veri kaybını veya dışarı sızmasını engelleyen güvenlik politikaları) güncel tutulmalı.

SearchLeak sonrası kurumların gözden geçirmesi gereken dört temel başlık: izin daraltma, DLP, SIEM izleme ve bağlantı güvenliği.

Log ve görünürlük tarafında ise Copilot ve Enterprise Search üzerindeki olağandışı veri erişim davranışlarının SIEM tarafında izlenmesi önem taşıyor. Varonis ayrıca q parametresinde HTML veya görsel gömme talimatı içeren kodlanmış payloadların ve CSP allowlist’inde sunucu tarafı fetch yapan domainlerin denetlenmesini öneriyor.

Son olarak, temel bir alışkanlık: Kullanıcıya gelenin, gerçek bir domaine işaret etse bile bağlantıların otomatik olarak güvenli kabul edilmemesi. SearchLeak’in en öğretici yanı tam da burada — güvenilir bir alan adı, içindeki isteğin güvenli olduğu anlamına gelmiyor.