Microsoft 365 Copilot-lek maakte via één click diefstal e-mails mogelijk

In dit artikel:

Een kritieke kwetsbaarheid in Microsoft 365 Copilot (CVE-2026-42824) maakte het mogelijk om met één klik e-mails, bestanden uit SharePoint en OneDrive en zelfs kalendergegevens van een gebruiker te halen. De fout, ontdekt door onderzoekers van Varonis, trof organisaties die Copilot Enterprise Search gebruiken — de functionaliteit waarmee bedrijfsdata doorzocht kan worden. Microsoft heeft de fout op 4 juni gepatcht; details zijn nu openbaar.

De aanval misbruikte een speciale parameter in een zoek-URL: waar een gewone link een zoekopdracht start, interpreteerde Copilot die parameter als instructie. Copilot kon daardoor worden gedwongen mailboxen te doorzoeken en een response te genereren met een img-tag waarin data verborgen werd teruggestuurd via Bing. Microsoft probeert gevaarlijke HTML te blokkeren door output in codeblocks te plaatsen, maar de onderzoekers lieten zien dat tijdens het genereren de HTML tijdelijk in de DOM verschijnt en zodoende toch kon worden uitgelekt.

Microsoft heeft het probleem opgelost en zegt dat organisaties geen extra stappen hoeven te nemen. Varonis raadt securityteams wel aan om Copilot-zoeklinks te monitoren — let vooral op de q-parameter met HTML-tags of instructies om data aan image-URL’s te hangen — en gebruikers te waarschuwen links eerst te controleren voordat ze klikken.