Siber güvenlik dünyasında yeni bir alarm durumu yaşanıyor. Varonis Threat Labs tarafından keşfedilen ve "SearchLeak" adı verilen kritik güvenlik açığı zinciri, Microsoft 365 Copilot'un Enterprise Search özelliğini hedef alarak kurumsal kullanıcılar için ciddi bir tehdit oluşturuyordu. Araştırmacılar, bu üç aşamalı saldırı zincirinin saldırganlara tek bir tıkla kurbanların hassas verilerine ulaşma imkânı tanıdığını ortaya koydu.

Tek Tıkla Tüm Verilere Erişim

SearchLeak açığı, Microsoft 365 Copilot'un yapay zekâ destekli arama fonksiyonundaki yetkilendirme ve veri işleme süreçlerindeki zafiyetleri istismar ediyordu. Saldırganlar, kurbanlara gönderecekleri özenle hazırlanmış tek bir bağlantı veya e-posta ile saldırı zincirini tetikleyebiliyordu. Bu zincir tamamlandığında, Copilot'un geniş dil modeli (LLM) altyapısı, kurbanın yetkisi dâhilindeki SharePoint belgeleri, OneDrive dosyaları, takvim kayıtları ve özellikle e-posta kutularındaki hassas içerikleri saldırgana aktarabiliyordu.

Keşfedilen saldırı vektörünün en endişe verici boyutlarından biri, e-posta doğrulama kodları ve tek kullanımlık şifreler (OTP) gibi kritik güvenlik bilgilerine ulaşma potansiyeli oldu. Saldırganlar bu kodları ele geçirerek çok faktörlü kimlik doğrulama (MFA) mekanizmalarını atlatabilir, hesap ele geçirme saldırılarını kolaylaştırabilir ve kurumsal sistemlere daha derin bir sızma gerçekleştirebilirdi. Özellikle finans, sağlık ve savunma gibi sektörlerde faaliyet gösteren kuruluşlar için bu durum operasyonel güvenlik açısından felaket senaryosu anlamına geliyordu.

Microsoft Hızlı Müdahale Etti

Varonis Threat Labs'ın sorumlu açıklama ilkesi çerçevesinde Microsoft'a bildirdiği zafiyet, teknoloji devi tarafından hızla değerlendirildi. Şirket, CVE-2026-42824 kodlu güvenlik yamasını yayınlayarak açığı kapatmayı başardı. Microsoft'un yaptığı güncelleme, Copilot'un veri erişim yetkilendirme mantığını sıkılaştırarak, kullanıcı onayı olmadan hassas içeriklerin dışarı sızmasını engelleyen yeni güvenlik katmanları ekliyor. Kurumların bu yamayı bir an önce uygulaması ve Copilot entegrasyonlarını gözden geçirmesi büyük önem taşıyor.

Kurumsal Yapay Zekâ Kullanımının Riskleri

SearchLeak, yapay zekâ destekli kurumsal araçların beraberinde getirdiği güvenlik risklerini bir kez daha gözler önüne serdi. Microsoft 365 Copilot gibi sistemler, kullanıcıların e-postalarından belgelerine kadar geniş bir veri havuzuna erişim sağladığından, bu tür araçlardaki küçük bir güvenlik açığı bile devasa veri sızıntılarına yol açabiliyor. Güvenlik uzmanları, yapay zekâ sistemlerinin "aşırı yetkilendirme" problemine dikkat çekiyor; LLM'lerin kullanıcı niyetini doğru yorumlayamaması veya kötü niyetli istemleri (prompt injection) ayırt edememesi, saldırı yüzeyini önemli ölçüde genişletiyor.

Kurumlara Öneriler

• Yamanın Uygulanması: Tüm Microsoft 365 Copilot kullanıcılarının, kurumlarındaki BT ekipleri aracılığıyla CVE-2026-42824 yamasını acilen uygulaması gerekiyor.
• Erişim Denetimi: Yapay zekâ araçlarının erişebildiği veri kaynakları sıkı bir şekilde denetlenmeli, "en az yetki" prensibi benimsenmelidir.
• Kullanıcı Eğitimi: Çalışanlar, Copilot'tan gelen paylaşım ve veri çıktılarına karşı dikkatli olmaları, şüpheli bağlantılara tıklamamaları konusunda bilinçlendirilmelidir.
• İzleme ve Loglama: Yapay zekâ araçlarının gerçekleştirdiği sorgulamalar ve veri erişimleri düzenli olarak izlenmeli, anomaliler tespit edilmelidir.

Bu olay, teknoloji devlerinin yapay zekâ güvenliği konusunda ne kadar dikkatli olması gerektiğinin altını çizerken, kurumların da bu tür araçları benimserken siber güvenlik stratejilerini sürekli güncellemesi gerektiğini hatırlatıyor. SearchLeak gibi açıklar, yapay zekâ çağında siber savunmanın artık yalnızca geleneksel yöntemlerle değil, LLM'lerin davranışlarını anlayan ve denetleyen yeni nesil güvenlik çözümleriyle mümkün olabileceğini gösteriyor.