ثغرة بنقرة واحدة في Microsoft 365 Copilot تسمح بسرقة البيانات ورموز MFA

مقدمة تحليلية

في تطور أمني يثير القلق، كشف باحثو Varonis Threat Labs عن ثغرة حرجة تعرف باسم 'SearchLeak' في Microsoft 365 Copilot، والتي كان من الممكن أن تسمح للمهاجمين بسرقة معلومات حساسة للغاية بمجرد نقرة واحدة. تشمل هذه المعلومات رسائل البريد الإلكتروني، تفاصيل التقويم، الملفات المفهرسة، وحتى رموز المصادقة متعددة العوامل (MFA)، مما يفتح الباب أمام اختراقات واسعة النطاق للحسابات المؤسسية.

تكمن خطورة هذه الثغرة، التي تحمل المعرف CVE-2026-42824، في أنها تستغل رابطًا حقيقيًا وموثوقًا من نطاق microsoft.com، مما يجعلها تتجاوز معظم أدوات مكافحة التصيد الاحتيالي وتصفية عناوين URL التقليدية. وصفت مايكروسوفت الثغرة بأنها 'حرجة' بمنحها درجة CVSS تبلغ 6.5، بينما قيمتها قاعدة بيانات الثغرات الوطنية (NVD) بدرجة أعلى بلغت 7.5. على الرغم من أن مايكروسوفت قد قامت بتخفيف هذه الثغرة على مستوى الواجهة الخلفية، فإن الكشف عنها يسلط الضوء على تحديات الأمن المتزايدة في أنظمة الذكاء الاصطناعي المؤسسية.

التحليل التقني

تعتبر ثغرة SearchLeak تتويجًا لسلسلة من ثلاث نقاط ضعف تم استغلالها بشكل متسلسل لتشكيل مسار واحد لتسريب البيانات. يجمع هذا الهجوم بين نقطة ضعف خاصة بالذكاء الاصطناعي واثنين من الأخطاء القديمة المعروفة في الويب.

• حقن المعاملات (Parameter-to-Prompt injection): نقطة الدخول الأساسية هي المعامل q في عنوان URL الخاص بـ Copilot Enterprise Search. صُمم هذا المعامل لاستقبال استعلامات اللغة الطبيعية، لكن Copilot يفسر أي محتوى يتم إدخاله فيه كتعليمات، وليس مجرد نص بحث. يقوم المهاجم بإنشاء عنوان URL يوجه Copilot للبحث في صندوق البريد، واستخلاص عنوان بريد إلكتروني، ثم وضعه داخل عنوان URL لصورة. لا يكتب الضحية شيئًا، فقط ينقر، ويقوم Copilot بتنفيذ التعليمات.
• شرط السباق في العرض (Race Condition in Rendering): تتمثل الخطوة التالية في شرط سباق في كيفية عرض الاستجابة. على الرغم من أن مايكروسوفت تحيط مخرجات Copilot بكتل <code> لضمان معالجة المتصفح للترميز كنص، إلا أن هذا التغليف يحدث بعد أن ينتهي Copilot من التوليد، بينما يقوم المتصفح بعرض التدفق فور وصوله. يتم رسم وطلب علامة <img> المحقونة قبل تشغيل المُنقي، مما يعني أن الطلب يغادر قبل تحييد المخرجات.
• تجاوز سياسة أمان المحتوى (CSP Bypass): تتمثل الحلقة الأخيرة في تجاوز سياسة أمان المحتوى (Content Security Policy) للصفحة. تمنع CSP على m365.cloud.microsoft الصور من نطاقات عشوائية، لكنها تسمح بنطاقات مثل *.bing.com. تستقبل نقطة نهاية "Search by Image" الخاصة بـ Bing عنوان URL للصورة وتقوم بجلبها من جانب الخادم لتحليلها. عن طريق توجيه هذا الجلب إلى خادم المهاجم مع النص المسروق المشفر في المسار، يقوم Bing باسترداد البيانات. بهذا، لا يتم تطبيق CSP الخاص بالمتصفح، لأن الطلب يأتي من بنية Bing التحتية، ليصبح Bing وكيلاً للتسريب.

باختصار، ينقر الضحية، يبحث Copilot في بياناته، يضمّن الرد قيمة حساسة (مثل موضوع بريد إلكتروني) في عنوان URL لصورة Bing، يستدعي المتصفح Bing أثناء تدفق البيانات، ويقوم Bing بسحب عنوان URL للمهاجم. يقرأ المهاجم البيانات من سجلاته الخاصة، مثل طلب لـ /Your_Security_Code_847291/img.png.

السياق وتأثير السوق

يستطيع Copilot Enterprise الوصول إلى أي شيء يمكن للمستخدم الذي قام بتسجيل الدخول الوصول إليه، عبر صلاحيات Microsoft Graph الخاصة به. يرث المهاجم هذا الوصول دون الحاجة إلى تسجيل الدخول. تشمل الجوائز الأكثر حساسية في صندوق الوارد الرموز لمرة واحدة، ورموز MFA، وروابط إعادة تعيين كلمة المرور، والتي غالبًا ما تكون صالحة لبضع دقائق. يمكن لبرنامج نصي يرفع هذه الرموز من السجل أثناء فتح النافذة أن يستولي على حساب قبل أن يلاحظ أي شخص.

يصل هذا الوصول أيضًا إلى دعوات التقويم وملاحظات الاجتماعات وأي ملف SharePoint أو OneDrive قام Copilot بفهرسته، حيث توجد بيانات الرواتب وأرقام الأرباح وخطط الاستحواذ. ليست هذه هي المرة الأولى التي تكشف فيها Varonis عن نمط مماثل؛ فقد أظهر الباحث دوليف تالر نفس تقنية النقرة الواحدة في هجوم Reprompt سابق ضد Copilot Personal، وقد صمد هذا الهجوم ضد Enterprise Search على الرغم من الحواجز الإضافية المفترضة لهذه الفئة. ظهر نفس النمط في EchoLeak (CVE-2025-32711)، وهي ثغرة تسريب بيانات Copilot بدون نقرة التي كشفت عنها Aim Security في عام 2025. تُعد ثغرات SSRF وسباقات المطهر (sanitizer races) فئات أخطاء قديمة؛ أما حقن التعليمات فهو الجزء الجديد الذي يجعلها قابلة للاستغلال مرة أخرى.

قامت مايكروسوفت بتخفيف الثغرة على مستوى الواجهة الخلفية، وبما أن Copilot Enterprise خدمة مُدارة، فلا يمكن لمسؤولي المستأجرين (tenant admins) تصحيح أو إعادة تكوين الأجزاء التي فشلت. ما يمكنهم فعله هو المراقبة والاحتواء. يجب البحث عن عناوين URL الخاصة بـ Copilot Search التي تحمل حمولات مشفرة أو HTML في المعامل q، وعن طلبات صادرة غير عادية إلى نقاط نهاية صور Bing. كما ينصح بتشديد حوكمة الوصول إلى البيانات بحيث يفهرس Copilot كمية أقل من البيانات، مما يقلل من نطاق أي تسريب مستقبلي.

رؤية Glitch4Techs

تؤكد ثغرة SearchLeak مجددًا على التحديات المعقدة والمتطورة التي يفرضها دمج الذكاء الاصطناعي في بيئات العمل المؤسسية. على الرغم من أن مايكروسوفت قامت بتصحيح الثغرة بسرعة ومنعت استغلالها على نطاق واسع، إلا أن مجرد وجود ثغرة "بنقرة واحدة" في نظام بحجم Copilot Enterprise يُعد مؤشرًا على أن نماذج الأمان التقليدية قد لا تكون كافية للتعامل مع الطبيعة الديناميكية والمترابطة لأنظمة الذكاء الاصطناعي.

تكمن أحد أبرز جوانب القلق في أن الثغرة استغلت "حقن المعاملات" (Parameter-to-Prompt injection) وهي نقطة ضعف ناشئة خاصة بالذكاء الاصطناعي، إلى جانب ثغرات قديمة معروفة في الويب. هذا يشير إلى أن المهاجمين سيستمرون في البحث عن طرق لربط نقاط الضعف الجديدة بالقديمة لتحقيق أهدافهم. إن الاعتماد المتزايد على خدمات الذكاء الاصطناعي المُدارة، حيث لا يملك مسؤولو الأمن القدرة على تطبيق التصحيحات بأنفسهم، يضع عبئًا أكبر على الموردين (مثل مايكروسوفت) لضمان أقصى درجات الأمان.

نتوقع في Glitch4Techs أن تشهد السنوات القادمة ارتفاعًا في هذا النوع من الهجمات المركبة التي تستهدف الذكاء الاصطناعي، خاصةً مع تزايد قدرة نماذج اللغة الكبيرة على معالجة البيانات الحساسة. يجب على الشركات أن تستثمر في حلول أمنية متقدمة قادرة على اكتشاف السلوكيات الشاذة في استعلامات الذكاء الاصطناعي ومخرجاتها، بالإضافة إلى تشديد سياسات الوصول إلى البيانات (data access governance) كخط دفاع أخير. إن بناء أنظمة AI آمنة يتطلب نهجًا استباقيًا يدمج الأمن في كل مرحلة من مراحل التصميم والتطوير، وليس مجرد تطبيق تصحيحات بعد الاكتشاف.