Een kritieke kwetsbaarheid in Microsoft 365 Copilot maakte het mogelijk om door middel van één click van een slachtoffer e-mails en bestanden uit zijn mailbox, SharePoint en OneDrive te stelen en toegang tot zijn kalender te krijgen. Microsoft heeft het probleem op 4 juni gepatcht zoals Security.NL eerder al meldde. Details over het beveiligingslek (CVE-2026-42824) zijn vandaag openbaar gemaakt.

Beveiligingslekken die ‘Information disclosure’ mogelijk maken worden doorgaans niet als kritiek beoordeeld, maar dat is bij CVE-2026-42824 wel het geval. Het probleem werd gevonden door onderzoekers van securitybedrijf Varonis en is relatief eenvoudig van opzet. De enige vereiste is dat het doelwit een zoeklink opent. De link voert in een normale situatie een zoekopdracht uit. Door de link te voorzien van een bepaalde parameter zal Copilot die als instructie beschouwen.

Het gaat daarbij specifiek om organisaties die gebruikmaken van Microsoft Copilot Enterprise Search. Die verschilt van de normale Copilot chat en maakt het mogelijk om bedrijfsgegevens te doorzoeken, zoals mailboxes en bestanden in SharePoint en OneDrive. Door middel van een speciaal geprepareerde url had een aanvaller Copilot de opdracht kunnen geven om e-mails van de betreffende gebruiker te doorzoeken. Vervolgens genereert Copilot een response met een img-tag die informatie uit de e-mail bevat en stuurt die via Bing terug naar de aanvallers.

Microsoft heeft maatregelen genomen om te voorkomen dat antwoorden van de chatbot ‘gevaarlijke HTML’ bevatten. De onderzoekers ontdekten echter een manier om die maatregelen te omzeilen. Microsoft plaatst de uitvoer van Copilot in ‘code blocks’ zodat de browser die als tekst behandelt, in plaats van opmaak. Dit gebeurt pas na het “nadenken” door Copilot. Waneer de chatbot een antwoord aan het genereren is, wordt de HTML tijdelijk in de DOM (document object model) gerenderd en zal de browser het request met HTML versturen.

Microsoft heeft het probleem inmiddels gepatcht en gebruikers en organisaties hoeven geen verdere actie te ondernemen. Varonis adviseert securityteams onder andere om op verdachte Copilot zoeklinks te monitoren, met name in de q-parameter die HTML-tags bevatten of instructies om data aan image url’s toe te voegen. Gebruikers wordt aangeraden om linkjes eerst te controleren voordat erop wordt geklikt.

Het Nederlandse onderwijs moet minder afhankelijk worden van Google, Microsoft en andere Big Tech-bedrijven, omdat de totale …

Bron: Security.nl