Falla critica in Microsoft Copilot esponeva codici di autenticazione e dati aziendali

La promessa degli assistenti AI consiste nel rendere immediatamente accessibili email, documenti, appuntamenti e informazioni sparse tra decine di servizi. Proprio questa capacità, però, continua a rappresentare uno dei punti più delicati dal punto di vista della sicurezza e della riservatezza dei dati. Microsoft ha appena corretto una vulnerabilità critica all’interno di Microsoft 365 Copilot Enterprise dopo la segnalazione dei ricercatori di Varonis Threat Labs.

La falla, battezzata SearchLeak, permetteva agli aggressori remoti di sottrarre dati personali e riservati con un semplice clic, da parte della vittima prescelta, su un collegamento apparentemente legittimo. Tra le informazioni “sfilabili” figuravano codici di autenticazione multifattore, contenuti delle email, inviti a riunioni, file presenti in OneDrive e documenti archiviati in SharePoint.

I Large Language Models (LLM) continuano a mostrare difficoltà nel distinguere istruzioni autorizzate da comandi nascosti all’interno di contenuti esterni. Non si tratta di un bug tradizionale ma di una caratteristica strutturale della tecnologia attuale. Di conseguenza, i laboratori AI costruiscono meccanismi di contenimento sempre più sofisticati che, periodicamente, qualche ricercatore riesce comunque ad aggirare.

Come funziona l’attacco SearchLeak a Microsoft Copilot

Gli esperti hanno concatenato 3 debolezze differenti fino a ottenere un meccanismo capace di estrarre informazioni senza richiedere alcuna interazione aggiuntiva da parte della vittima.

Il primo elemento è una tecnica definita Parameter-to-Prompt Injection. L’attaccante inserisce istruzioni malevole direttamente all’interno del parametro q di un URL utilizzato dal motore di ricerca integrato in Microsoft 365 Copilot. Quando l’utente apre il collegamento, Copilot interpreta il contenuto del parametro come un vero e proprio prompt ed “esegue” le istruzioni ricevute.

La differenza rispetto alle più note tecniche di prompt injection è sottile ma importante. In questo caso il comando non è nascosto in un’email o in un documento da analizzare. Risiede direttamente nell’indirizzo (URL) e raggiunge il modello attraverso un canale che gli sviluppatori non avevano in precedenza considerato sufficientemente pericoloso.

Una volta ricevuto il comando, Copilot può effettuare ricerche tra le risorse alle quali l’utente ha accesso: la piattaforma dispone spesso di autorizzazioni molto estese.

La corsa contro il tempo tra browser e meccanismi di protezione

Microsoft aveva già implementato diverse contromisure per impedire l’esfiltrazione di dati. Una delle più importanti consiste nel racchiudere l’output generato da Copilot all’interno di blocchi HTML che il browser interpreta come semplice testo anziché come codice “attivo”.

I ricercatori hanno però scoperto una condizione particolare: durante la fase iniziale della generazione della risposta, Copilot genera temporaneamente codice HTML non sottoposto ai processi di sanitizzazione, ossia ai controlli di sicurezza che rimuovono o neutralizzano elementi potenzialmente dannosi o non autorizzati. Se il modello genera un tag <img>, il browser tenta immediatamente di caricare l’immagine indicata nell’attributo src.

Copilot inizia a trasmettere la risposta; il browser rileva il tag HTML; parte una richiesta HTTP verso il server specificato; solo successivamente entra in azione il sistema che converte l’output in testo innocuo. A quel punto, però, la richiesta è già stata inviata.

Si tratta di una classica situazione assimilabile a una race condition. La protezione esiste, ma interviene qualche istante dopo rispetto all’evento che dovrebbe bloccare.

L’uso di Bing come ponte per aggirare le restrizioni

Le policy di sicurezza di Copilot limitano le richieste verso domini considerati non attendibili: un’immagine ospitata direttamente sul server dell’attaccante non avrebbe superato i controlli.

Per risolvere il problema, i ricercatori hanno sfruttato un meccanismo presente nel motore di ricerca Bing. Alcuni domini Microsoft risultano autorizzati in modo permanente all’interno delle regole di sicurezza della piattaforma: tra questi compare anche Bing.

La tecnica prevede l’invio di una richiesta a una funzionalità di ricerca immagini che accetta come parametro l’indirizzo di un’immagine remota. A quel punto Bing recupera il file dal dominio controllato dall’attaccante con il risultato che il traffico passa attraverso un servizio Microsoft ritenuto affidabile e riesce così a superare le limitazioni previste da Copilot.

Una vulnerabilità corretta, un problema ancora aperto

La dimostrazione pubblicata da Varonis mette in evidenza il recupero di codici MFA e contenuti della posta elettronica da parte di soggetti non autorizzati. In un ambiente aziendale reale, però, l’impatto potrebbe risultare molto più ampio.

Microsoft 365 Copilot Enterprise opera infatti come una sorta di livello unificato di interrogazione delle informazioni aziendali. Se l’utente possiede accesso a documentazione riservata, report finanziari, verbali di riunioni, dati commerciali o progetti in fase di sviluppo, il modello può potenzialmente individuare tali contenuti e utilizzarli nella risposta.

Com’è ovvio, un dipendente con autorizzazioni limitate offre un bersaglio meno interessante rispetto a un dirigente, un responsabile IT o un amministratore con accesso a numerosi repository documentali.

Microsoft ha distribuito la correzione lato server, con l’assegnazione dell’identificativo CVE-2026-42824 alla vulnerablità. Trattandosi di un servizio gestito, i clienti non hanno dovuto installare aggiornamenti locali o applicare patch manuali.

La correzione elimina la specifica catena di attacco individuata da Varonis, ma non affronta la questione più profonda. I modelli linguistici continuano infatti a trattare il linguaggio naturale come una sequenza di istruzioni statisticamente plausibili, senza possedere una reale comprensione delle differenze tra dati e comandi.

Affidarsi esclusivamente a guardrail e filtri, però, non basta: le aziende devono necessariamente ridurre la quantità di dati accessibili agli assistenti, applicare rigorosamente il principio del minimo privilegio e monitorare con attenzione quali informazioni possono essere recuperate attraverso le interfacce conversazionali.