Contents
see List이번 쇼츠는 Microsoft 365 Copilot SearchLeak, 클릭 1번에 MFA 코드· 메일 새는 이유 내용을 짧게 정리한 주제 영상입니다. 핵심 장면과 설명은 YouTube Shorts에서 바로 확인할 수 있습니다.
카테고리는 IT최신뉴스이며, 영상은 짧은 시간 안에 중요한 맥락과 실사용 포인트를 전달하도록 구성했습니다.
영상 핵심 요약
- 회사 AI 링크 한 번 클릭했는데, 메일과 MFA 코드, 파일까지 빠져나갈 수 있었습니다.
- Varonis가 2026년 6월 15일 공개한 SearchLeak은 Microsoft 365 Copilot Enterprise Search 취약점 체인입니다.
- 핵심은 검색창 q 파라미터입니다. 검색어를 넣는 자리인데, Copilot이 그걸 명령처럼 읽었습니다.
- 공격자는 Microsoft 주소처럼 보이는 링크에, 메일함을 검색하고 결과를 이미지 주소에 넣으라는 지시를 숨깁니다.
- 사용자는 프롬프트를 치지 않습니다. 클릭만 하면 Copilot이 사용자의 권한으로 메일, 일정, OneDrive, SharePoint를 뒤집니다.
- 두 번째 문제는 속도였습니다. HTML을 막기 전에, 스트리밍 중인 이미지 태그 요청이 먼저 나가버렸습니다.
- 마지막으로 Bing 이미지 검색이 우회로가 됐습니다. 허용된 Bing이 공격자 서버까지 대신 요청한 겁니다.
- Microsoft는 CVE-2026-42824로 처리하고 서버 쪽에서 완화했습니다. 그래도 교훈은 남습니다.
쇼츠에서는 긴 글로 설명하기보다 장면, 자막, 음성 흐름으로 핵심을 빠르게 전달합니다. 이 글은 영상 내용을 다시 확인하거나 링크를 보관하기 위한 기록용 요약입니다.