JAKARTA – Peneliti keamanan siber dari Varonis Threat Labs mengungkap sebuah rantai kerentanan baru pada Microsoft 365 Copilot yang berpotensi dimanfaatkan untuk mencuri data sensitif pengguna, mulai dari email, kode autentikasi dua faktor (2FA), hingga dokumen internal perusahaan.
Kerentanan tersebut diberi nama SearchLeak dan disebut mampu mengubah fitur pencarian pada Microsoft 365 Copilot Enterprise menjadi alat eksfiltrasi data secara diam-diam.
Menurut laporan Varonis, serangan ini memanfaatkan kombinasi tiga celah keamanan yang jika digabungkan dapat melewati berbagai lapisan perlindungan yang telah diterapkan Microsoft pada layanan Copilot.
Tiga komponen serangan tersebut meliputi kerentanan baru berbasis kecerdasan buatan yang disebut Parameter-to-Prompt Injection (P2P), serta dua celah web yang sudah dikenal, yakni HTML injection race condition dan Content Security Policy (CSP) bypass melalui teknik Bing server-side request forgery (SSRF).
“Karena SearchLeak menargetkan Microsoft Enterprise, dampaknya tidak terbatas pada data pribadi pengguna. Kerentanan ini berpotensi mengakses apa pun yang dapat diakses pengguna di dalam organisasi, termasuk email, undangan rapat, catatan rapat, dokumen SharePoint, file OneDrive, dan berbagai konten bisnis yang telah terindeks,” tulis Varonis dalam laporannya.
Peneliti juga menyebut cakupan dampaknya dapat menjadi lebih luas tergantung bagaimana Microsoft 365 terhubung dengan lingkungan organisasi yang digunakan.
Cara Kerja Serangan SearchLeak
Microsoft sebenarnya telah menerapkan berbagai mekanisme perlindungan untuk mencegah Copilot mengirimkan informasi sensitif kepada pihak tidak berwenang.
