พบช่องโหว่ Microsoft 365 Copilot เสี่ยงถูกขโมยข้อมูลผ่านการคลิกลิงก์

นักวิจัยด้านความปลอดภัยเปิดเผยช่องโหว่ใน Microsoft 365 Copilot Enterprise Search ที่เรียกว่า SearchLeak ซึ่งอาจเปิดทางให้ผู้โจมตีขโมยข้อมูลจากอีเมล ไฟล์ใน SharePoint และ OneDrive รวมถึงรหัส MFA หรือรหัสยืนยันตัวตนแบบใช้ครั้งเดียวได้ เพียงหลอกให้เหยื่อคลิกลิงก์ที่ถูกสร้างขึ้นเป็นพิเศษ โดยลิงก์ดังกล่าวอยู่บนโดเมนของ Microsoft ทำให้เครื่องมือป้องกันฟิชชิ่งหรือระบบกรอง URL อาจตรวจจับได้ยาก

รายงานระบุว่า การโจมตีอาศัยการเชื่อมโยงช่องโหว่หลายส่วนเข้าด้วยกัน ได้แก่ การฝังคำสั่งผ่านพารามิเตอร์ค้นหาของ Copilot ช่องโหว่ Race Condition ระหว่างการแสดงผล HTML และการใช้ Bing Image Search เป็นตัวกลางในการส่งข้อมูลออกไปยังเซิร์ฟเวอร์ของผู้โจมตี เมื่อเหยื่อคลิกลิงก์ Copilot อาจตีความข้อความใน URL เป็นคำสั่ง ค้นหาข้อมูลที่ผู้ใช้มีสิทธิ์เข้าถึงและฝังข้อมูลดังกล่าวไว้ในคำขอที่ถูกส่งออกไปโดยอัตโนมัติ

ช่องโหว่นี้ได้รับหมายเลข CVE-2026-42824 โดย Microsoft ระบุว่าเป็นช่องโหว่ประเภท command injection ใน M365 Copilot ที่อาจทำให้ผู้โจมตีเปิดเผยข้อมูลผ่านเครือข่ายได้ ขณะที่ Microsoft ได้ดำเนินการแก้ไขบนระบบ backend แล้ว และรายงานดังกล่าวเป็นการสาธิตเชิงวิจัย ยังไม่มีรายงานว่าถูกนำไปใช้โจมตีจริง ผู้ดูแลระบบควรตรวจสอบลิงก์ Copilot Search ที่มีพารามิเตอร์ q ผิดปกติหรือมี payload ที่ถูกเข้ารหัส ตรวจสอบการเชื่อมต่อไปยัง Bing image endpoints ที่ไม่ปกติ และทบทวนสิทธิ์การเข้าถึงข้อมูลใน Microsoft 365 เพื่อลดผลกระทบหากเกิดช่องโหว่ลักษณะเดียวกันในอนาคต

แหล่งข่าว [ https://dg.th/haqcwtli1o ]