Namun, menurut Varonis, serangan SearchLeak berhasil memanfaatkan kombinasi beberapa kelemahan yang secara individual mungkin tidak berbahaya, tetapi menjadi efektif ketika dirangkai dalam satu skenario serangan.
Tahap pertama dimulai melalui teknik Parameter-to-Prompt Injection. Dalam metode ini, pelaku mengirimkan tautan yang telah dimodifikasi kepada target.
Sebagai contoh, penyerang dapat mengirimkan URL yang dibuat khusus seperti:
https://m365.cloud.microsoft/search/?auth=2&origindomain=microsoft365&q=
Tautan tersebut berisi instruksi tersembunyi yang disisipkan ke dalam parameter URL. Ketika tautan dibuka, Copilot dapat menafsirkan instruksi tersebut sebagai perintah yang harus dijalankan.
Dalam demonstrasi yang dilakukan Varonis, instruksi tersebut memerintahkan Copilot untuk mencari email pengguna, mengambil judul pesan, lalu menyisipkannya ke dalam alamat URL gambar.
Celah Muncul Saat Copilot Menampilkan Respons
Varonis menjelaskan bahwa Microsoft sebenarnya berupaya mencegah kode HTML berbahaya dieksekusi dengan membungkus respons AI ke dalam format kode (code block).
Namun terdapat celah pada fase saat Copilot masih menghasilkan respons secara bertahap (streaming).
“Microsoft mengetahui bahwa respons AI dapat mengandung HTML berbahaya. Mitigasi yang diterapkan adalah membungkus output dalam code block sehingga browser memperlakukannya sebagai teks. Masalahnya, proses tersebut dilakukan setelah Copilot menyelesaikan fase berpikirnya,” tulis Varonis.
Akibatnya, HTML mentah sempat muncul di halaman sebelum perlindungan diterapkan sepenuhnya, sehingga membuka peluang bagi pelaku untuk mengekstrak informasi.
Bing Dimanfaatkan Sebagai Jalur Pengiriman Data
Setelah data berhasil diperoleh, tahap berikutnya adalah mengirimkan informasi tersebut ke server milik pelaku.
