Contents
see List작성일 2026. 06. 20.
이번 쇼츠는 Microsoft 365 Copilot SearchLeak, 클릭 1번에 MFA 코드· 메일 새는 이유 내용을 짧게 정리한 주제 영상입니다. 핵심 장면과 설명은 YouTube Shorts에서 바로 확인할 수 있습니다.
카테고리는 IT최신뉴스이며, 영상은 짧은 시간 안에 중요한 맥락과 실사용 포인트를 전달하도록 구성했습니다.
영상 핵심 요약
- 회사 AI 링크 한 번 클릭했는데, 메일과 MFA 코드, 파일까지 빠져나갈 수 있었습니다.
- Varonis가 2026년 6월 15일 공개한 SearchLeak은 Microsoft 365 Copilot Enterprise Search 취약점 체인입니다.
- 핵심은 검색창 q 파라미터입니다. 검색어를 넣는 자리인데, Copilot이 그걸 명령처럼 읽었습니다.
- 공격자는 Microsoft 주소처럼 보이는 링크에, 메일함을 검색하고 결과를 이미지 주소에 넣으라는 지시를 숨깁니다.
- 사용자는 프롬프트를 치지 않습니다. 클릭만 하면 Copilot이 사용자의 권한으로 메일, 일정, OneDrive, SharePoint를 뒤집니다.
- 두 번째 문제는 속도였습니다. HTML을 막기 전에, 스트리밍 중인 이미지 태그 요청이 먼저 나가버렸습니다.
- 마지막으로 Bing 이미지 검색이 우회로가 됐습니다. 허용된 Bing이 공격자 서버까지 대신 요청한 겁니다.
- Microsoft는 CVE-2026-42824로 처리하고 서버 쪽에서 완화했습니다. 그래도 교훈은 남습니다.
쇼츠에서는 긴 글로 설명하기보다 장면, 자막, 음성 흐름으로 핵심을 빠르게 전달합니다. 이 글은 영상 내용을 다시 확인하거나 링크를 보관하기 위한 기록용 요약입니다.