Il recente episodio che ha coinvolto Microsoft 365 Copilot Enterprise dimostra come l’introduzione di sistemi AI all’interno dei flussi di lavoro possa aprire scenari di rischio completamente nuovi, difficili da individuare con le tradizionali metodologie di sicurezza informatica.

I ricercatori di Varonis hanno infatti individuato una sofisticata catena di attacco denominata SearchLeak, una combinazione di vulnerabilità che, una volta concatenate tra loro, permetteva a un aggressore di sottrarre informazioni riservate presenti negli account Microsoft 365 delle vittime. La gravità del problema ha portato Microsoft a classificare la falla come critica, assegnandole l’identificativo CVE-2026-42824 e intervenendo con una correzione distribuita all’inizio di giugno.

Ciò che rende particolarmente interessante questo caso è il modo in cui le vulnerabilità sono state orchestrate per sfruttare il comportamento stesso dell’assistente AI. A differenza della versione più nota di Copilot, orientata principalmente alla generazione di contenuti, Microsoft 365 Copilot Enterprise Search opera come un motore di ricerca avanzato all’interno dell’ecosistema aziendale. Il sistema è in grado di consultare email, appuntamenti di calendario, documenti archiviati su SharePoint, file presenti in OneDrive e altre informazioni accessibili dall’utente autenticato.

Questa capacità rappresenta uno dei maggiori punti di forza della piattaforma, ma nel caso di SearchLeak è diventata il tassello fondamentale dell’intera catena di compromissione. L’attacco prendeva avvio attraverso un semplice collegamento web costruito ad arte. Una volta cliccato dalla vittima, il link sfruttava una tecnica nota come Parameter-to-Prompt Injection. In pratica, il parametro utilizzato da Copilot per ricevere una query di ricerca veniva manipolato per contenere istruzioni nascoste destinate direttamente al modello AI.

L’utente non doveva digitare alcuna richiesta né interagire ulteriormente con il sistema. Era sufficiente aprire il collegamento affinché Copilot interpretasse automaticamente i comandi incorporati dall’attaccante. A quel punto il motore di ricerca iniziava a consultare le sorgenti informative aziendali disponibili all’utente, recuperando contenuti che potevano comprendere messaggi di posta elettronica, codici di accesso, password condivise impropriamente via email, documenti interni, verbali di riunioni, appuntamenti e dati operativi potenzialmente sensibili.

La seconda fase dell’attacco sfruttava un comportamento estremamente particolare del processo di rendering delle risposte generate da Copilot. Durante la trasmissione progressiva dei contenuti verso il browser, esisteva una finestra temporale molto ridotta nella quale il codice HTML prodotto dall’assistente veniva interpretato prima che il sistema di sanitizzazione completasse il proprio lavoro.

FortiClient EMS Citrix NetScaler

Crediti: Shutterstock

In condizioni normali, eventuali elementi HTML pericolosi vengono neutralizzati e resi innocui. Nel caso individuato da Varonis, però, una race condition consentiva l’esecuzione temporanea di codice controllato dall’aggressore. Questa circostanza permetteva di inserire un tag immagine opportunamente costruito e, sebbene apparentemente innocuo, tale elemento era in grado di generare richieste di rete verso infrastrutture esterne prima che il contenuto venisse messo in sicurezza.

Il terzo tassello della catena era probabilmente il più ingegnoso. Gli esperti hanno individuato un meccanismo legato alla funzione “Search by Image” di Bing che poteva essere sfruttato come una sorta di intermediario inconsapevole. Attraverso una vulnerabilità classificabile come Server-Side Request Forgery, il motore di ricerca di Microsoft effettuava richieste verso server controllati dagli aggressori per recuperare immagini che avrebbero dovuto essere analizzate dal sistema. Poiché la connessione veniva effettuata da Bing e non direttamente dal browser della vittima, le tradizionali protezioni imposte dalle Content Security Policy risultavano aggirate.

Il risultato finale era sorprendentemente efficace. Le informazioni recuperate da Copilot venivano incorporate all’interno dell’indirizzo URL utilizzato nella richiesta e Quando Bing contattava il server remoto dell’attaccante, i dati riservati viaggiavano insieme alla richiesta e finivano registrati nei log del sistema di destinazione.

Dal punto di vista della vittima non emergeva alcun comportamento sospetto. L’interfaccia mostrava semplicemente Copilot impegnato nell’elaborazione della risposta, una situazione perfettamente normale durante l’utilizzo quotidiano dello strumento. Nessun avviso, nessun download inatteso, nessuna finestra anomala lasciava intuire che informazioni aziendali stessero abbandonando il perimetro di sicurezza.

La vicenda evidenzia un aspetto sempre più rilevante nel panorama della cybersecurity contemporanea. Molte delle vulnerabilità coinvolte nella catena SearchLeak appartengono a categorie ben conosciute dagli specialisti della sicurezza. Tecniche come SSRF, injection e problemi di rendering HTML sono presenti da anni nelle applicazioni web e dispongono di metodologie di mitigazione ampiamente documentate.

L’arrivo dei sistemi di intelligenza artificiale generativa introduce però una nuova dimensione operativa. I modelli AI agiscono infatti come interpreti attivi delle informazioni ricevute, creando collegamenti tra componenti che in passato rimanevano separati. Una vulnerabilità apparentemente marginale può così acquisire un impatto molto maggiore quando viene sfruttata attraverso un assistente capace di accedere a grandi quantità di dati aziendali e di elaborarli autonomamente.

(Immagine in apertura: Shutterstock)