Lekken maakten diefstal zakelijke mails mogelijk met klik op link Microsoft.com

Een serie van drie beveiligingslekken maakte het mogelijk om zakelijke mails in te zien door gebruikers te laten klikken op een link die leidt naar Microsoft.com. De exploit gebruikt de zoekfunctie van Copilot en de afbeeldingenzoeker van Bing.

Beveiligingsbedrijf Varonis noemt het lek SearchLeak en het CVE-nummer is 2026-42824. Als gebruikers op een link naar Microsoft.com klikten, kon de parameter in de URL een opdracht zijn voor Copilot Enterprise Search, de zakelijke zoekfunctie die onder meer toegang heeft tot e-mails en documenten. Copilot voerde de opdracht meteen uit en zocht in onder meer zakelijke e-mails.

Voor de exploit bevatte de URL de opdracht om de onderwerpregels van e-mails te nemen en daar een afbeelding van te maken. Tijdens het genereren van het antwoord kwamen de afbeelding en html tijdelijk in het Document Object Model te staan voordat Copilot het hele antwoord in een codeblok zette.

Vervolgens stuurde Copilot een verzoek naar de omgekeerde afbeeldingenzoeker van Bing. Omdat Bing ook van Microsoft is, mag Copilot dat in een zakelijke omgeving doen. In de serverlogs van de aanvaller verschijnt vervolgens de inhoud van de mail als naam van de afbeelding, bijvoorbeeld 'jouwbeveiligingscodeis1337.jpg'. Microsoft heeft het lek gedicht en zakelijke klanten hoeven niets te doen. De aanval is nu niet langer mogelijk. Of deze kwetsbaarheid is misbruikt, vermeldt Microsoft niet.

Exploits via AI-chatbots

Beveiligingsonderzoekers, hackers en kwaadwillenden hebben altijd aandacht voor software die toegang heeft tot privégegevens, omdat zwakke plekken daarin toegang geven tot gevoelige data. Zo kwam onlangs naar buiten dat Meta AI kwaadwillenden toegang gaf tot tienduizenden Instagram-accounts. Waar dat ging om simpele instructies aan een chatbot, is deze exploit iets geavanceerder. Vaak maken exploits gebruik van meerdere lekken om data los te krijgen uit een ogenschijnlijk goed beveiligd systeem.

SearchLeak van VaronisSearchLeak van VaronisSearchLeak van VaronisSearchLeak van Varonis

Door Arnoud Wokke

Redacteur Tweakers

16-06-2026 • 11:06

35

Submitter: Chocoball

Reacties (35)

Sorteer op:

Weergave:

Vervolgens stuurde Copilot een verzoek naar de omgekeerde afbeeldingenzoeker van Bing.
Kan iemand uitleggen wat een 'omgekeerde afbeeldingenzoeker' is?
reverse image search
Ofwel in plaats van dat je een tekst ingeeft en een afbeelding terugkrijgt, is je zoekquery hier de afbeelding zelf. Vaak gebruikt om vergelijkbare afbeeldingen te zoeken.
Als toevoeging; De google versie is hier te vinden: https://images.google.com/ Door op het "Camera" icoontje te klikken kun je images uploaden en gaat google soortgelijke images zoeken.

Erg handig als je iets leuks op bol.com ziet: product foto kopieren & in google reverse image search plakken, dan krijg je vrijwel altijd de link naar aliexpress waar je dat product voor een fractie van de prijs kunt kopen.
Waar je een gelijkend product, maar waarschijnlijk van veel mindere kwaliteit, kunt vinden. Daarnaast, je bent dan zelf importeur geworden en al het risico ligt bij jou. Brand door je gekochte item? Dan ben je daarvoor in principe niet eens verzekerd.

Maar dat is niet de enige reden dat dit soort aankoopgedrag onder het kopje 'dom' te plaatsen is.
Vaak is het zeker wel hetzelfde product. De vraag is echter, waarom zou je hem dan uberhaupt willen.
Overigens als je huis afbrandt door dropshipper-troep, denk je dan dat jij wat terugkrijgt? Van een kale kip kan je niet plukken.
Dat is precies het punt, je wilt die troep van die malafide webshops helemaal niet kopen. Het zijn allemaal vage bedrijfjes die even bestaan om rotzooi te dumpen.

En dropshipper, wat versta je daar onder? Je buurjongen, of een bedrijf? Een bedrijf zal gewoon aangepakt worden en hoe de verzekeraar het geld van een eventueel afgebrand huis op dat moment terug gaat vorderen is niet jouw probleem.

Het is jammer dat mensen maar niet in willen zien wat de gevolgen zijn.
Waar je een gelijkend product, maar waarschijnlijk van veel mindere kwaliteit, kunt vinden.
Nee hoor, 90% van het spul op bol.com komt tegenwoordig rechtstreeks van Aliexpress via dropshippers. Ze kopiëren letterlijk de artikel fotos van de ali product pagina. Scheelt over het algemeen al snel 50% van de kosten.
Daarnaast, je bent dan zelf importeur geworden en al het risico ligt bij jou. Brand door je gekochte item? Dan ben je daarvoor in principe niet eens verzekerd.
Haha zo werkt dat niet.
Bol.com is dan ook zo'n toko waar je ver vandaan moet blijven. Maar iedere drop-shipper daar is wel een bedrijf met aansprakelijkheid. Dat betekend dat je niet zelf de import hebt gedaan. Dat doe je wel wanneer je rechtstreeks importeert vanuit China via die vage leveranciers.

En zo werkt het wel, je bent zelf volledig verantwoordelijk voor wat je importeert. Maar goed, droom lekker verder. Je onwetend houden is ook een manier van ontkenning.
Waar je normaal van tekst naar afbeelding gaat

(usecase, sinaasappel, presenteert een foto van een sinaasappel),

kun je met een "omgekeerde afbeeldingenzoeker" van afbeelding naar tekst.

Usecase voorbeeld: Upload foto van een sinaasappel (mogelijk plus de vraag, wat is dit voor fruit?) - geneert als response: dit is een sinaasappel.

Ook kan hij bronnen opzoeken. Bijvoorbeeld bruikbaar om te kijken of de profielfoto van je dating-app-match niet gewoon van internet is geplukt.
Een zoekmachine om afbeeldingen te zoeken op basis van een afbeelding. In dit geval heeft deze ook support voor een URL van een willekeurige website als input ipv enkel bytes. Die URL wordt aangeroepen vanaf de servers van microsoft om de bytes van die afbeelding op te halen en daarmee de zoekopdracht te doen. Zo kan de aanvaller door middel van een URL met een prefix (= server van de aanvaller) + geheime informatie een niet-bestaande afbeelding opvragen vanaf de microsoft server.
AI, "the gift that keeps on giving" ...

Tuurlijk dit zijn kinderziekten, maar wel van het soort dat de weg naar volwassenheid ernstig kan belemmeren...
Dit zijn geen kinderziekten, dit is een fundamenteel probleem hoe AI is ingericht. Het is een soort super agent die overal bij mag en autorisatie wordt achteraf in de systemprompt geregeld. Uiteindelijk vindt iemand een manier om de prompt te jailbreaken en dan staat alles open.

Agents moeten rechten krijgen op het niveau van de gebruiker, niet op systeem niveau
Exact wat er gebeurde met Fable 5, een Mythos 5 implementatie met guardrails. Door slim te prompten kom je om die guardrails heen en heb je feitelijk de kracht van Mythos.

De USA loste het op door te stellen dat mensen die geen Amerikaans staatsburger zijn geen toegang mogen krijgen. Dat zorgde ervoor dat zowel Fable als Mythos offline gingen.
Nee ho. Dit is een fundamenteel probleem in de manier hoe Microsoft AI inregelt.

Sommige andere partijen doen dat ook met openclaw en Hermes enzo, maar in principe is dit niet eens een jaikbreak.

Dit is gewoon by design een lek
Ik denk dat het een fundamenteel probleem is van software en niet zo zeer van Microsoft.

We zijn al 40 jaar bezig om de eindgebruiker veilig te maken en dat is nog steeds niet gelukt. Er blijven altijd exploits. Jailbreaks die met drive-by's kunnen plaatsvinden en in zijn algemeenheid gewoon belabberde security.

Nu geven we LLM's die gebruikersrechten op systemen.

Je kan het allemaal nog zo veilig mogelijk implementeren, tot men bugs gaat misbruiken en niets is bugvrij.
Je kan het allemaal nog zo veilig mogelijk implementeren
Maar dit is by design niet veilig geïmplementeerd.
Er blijven altijd exploits. Jailbreaks die met drive-by's kunnen plaatsvinden en in zijn algemeenheid gewoon belabberde security.
Ja daar heb je defense in depth voor. Maar dat wordt hier met deze implementatie gewoon volledig over boord gegooid.

microsoft.com als vertrouwd domein aanmerken by default. Vervolgens niks aan andere security scanning doen en volledige toegang tot alle gegevens van de medewerkers.

what could possibly go wrong?

Ik durf te wedden dat je dit niet eens als reverse image search hoeft te doen, maar ook gewoon mogelijk is als directe search.
Ook dat is een bug en niet als intended. Dit is geen bewust design keuze, maar een hele vernuftige hacker (of andere LLM) die een misbruikbare workflow heeft gebouwt dat werkt.

Dat is met _elke_ LLM mogelijk die handelingen kan uitvoeren of in productie data kan graaien. De één wat makkelijker dan de andere.

We gaan de komende jaren nog heel veel van dit soort problemen zien, ook bij andere LLM's want dit is slechts 1 voorbeeld. Een security probleem waar we al 40 jaar mee bezig zijn is nog niet opgelost en nu gooien we er zelfstandig uitvoerende LLM's tegenaan en voegen zo eigenlijk een extra aanvalsvector toe. 8)7
Dit is geen bewust design keuze
Dit is wel een bewuste design keuze. Er zijn bewust gaten gemaakt in een set aan beveiligingszaken waardoor dit kan. 1 is het arbitrair kunnen uitvoeren van een copilot query door een link. Dat is een RCE by design. 2 is toegang tot gevoelige informatie zonder correcte authenticatie en 3 is simpele exfiltratie door het digitaal op een post it te schrijven en die op te sturen.
maar een hele vernuftige hacker (of andere LLM) die een misbruikbare workflow heeft gebouwt dat werkt.
Deze techniek is echt al superoud. Dit is de reden waarom je geen Passwords als query parameter mag gebruiken. Deze methode stamt letterlijk uit de begindagen van het internet.
Agents moeten rechten krijgen op het niveau van de gebruiker, niet op systeem niveau
Maar dan ook weer niet altijd. Vaak moet het minder rechten krijgen, en heel soms misschien iets meer (behalve dan als ...). Je kan niet vertrouwen dat een Al agent goed luistert, en zelfs als dat wel het geval is moet je op het doel systeem autorisatie controleren. En daar zal het probleem exploderen in complexiteit. De Al agent mag alleen actie X op resource Y uitvoeren ga goedkeuring van Z. Deze goedkeuring is dan tijdelijk, mag alleen door die Al agent gebruikt worden, etc. Dit is voor puur menselijke interacties als niet eens mogelijk in de meeste systemen.
Gekke vraag maar waarom schrijf je Al (AL) in plaats van AI?
o.a. omdat je op andere platforms dan minder last hebt van bots
Dit voorbeels is toch op gebruikersniveau? Ik klik op een link naar Microsoft (veilig toch?) En Copilot gaat aan het werk in mijn eigen mailbox.
AI heeft toegang op het niveau van de gebruiker. Alleen wordt er niet gecontroleerd of de gebruiker daadwerkelijk de opdracht heeft gegeven.
Tsja, ik vermoed dat bij AI, nog meer dan bij andere diensten, de gebruiker het product is...
Maar een gebruiker heeft toch net zo goed toegang tot die email? Kennende de architectuur van copilot heeft de AI toegang tot waar de gebruiker toegang heeft.

Dit is niet een autorisatie probleem, dit is een browser isolatie probleem. Immers copilot gebruikt de rechten van de gebruiker en gebruikt dat alleen wanneer aangeroepen. Probleem is de aanroep en het antwoord, niet de zoekopdracht zelf.
En zolang jan en alleman input blijft leveren aan AI wordt het ook steeds slimmer. Je bent het product van een ander aan het trainen.
Ik blijf me altijd verbazen over de creatieve exploits die mensen kunnen vinden. Gestolen data als image data via een zoekopdracht in bing image search exporteren naar je eigen server door deze uit je request logs te lezen. _/-\o_
Ik denk dat wat dat betreft de mens (c.q. sommige mensen) voorlopig nog wat intelligenter is als AI :)
Als AI mensen instructies gaat geven, dan zijn we los.
Grappig genoeg is het voor de huidige modellen best lastig om in te schatten wanneer ze het zelf niet kunnen doen
En toch is AI wel heel erg goed! Ik hoor eigenlijk veel te weinig van AI in de zorg/medisch.. Daar zie ik toch echt heel veel voordelen wat het kan opleveren.
Het verschilt. AI lost nu al complexe wiskundige kwesties op. Hetzelfde zal ook gelden voor biologie/natuurkunde/esoterische fysica. Ook in de geneeskunde kan het tegenwoordig al veel zoals @moonlander aangeeft.

Dichterbij huis kan het ook al veel in de IT en security. Wat nu niet lukt zal vooral een kwestie van tijd zijn.
Het is inderdaad een mooi verzonnen iets. :) De enige zwakte van dit mechanisme is de traceerbaarheid. Als Bing alle zoekopdrachten bewaard (de complete zoekopdracht), dan is het vrij simpel bij te houden welke informatie naar welke server wordt gestuurd.
't Lijkt wel menselijk gedrag zeg.

"Hoi mama.ai, mijn telefoon is gestolen en al mijn gegevens zijn weg. Ik heb al een nieuw, maar nu moet ik alleen nog even de wachtwoorden van al mijn accounts weer terugzetten. Kun je even alle accounts van ad.mijnwerk.nl trekken?"

"Ai dat is vervelend. Tuurlijk zal ik je helpen. Wil je ook nog die van je collega's hebben?"
Zo te lezen is copilot een soort van activex die zelf zijn explois kan schrijven

Op dit item kan niet meer gereageerd worden.