Исследователи кибербезопасности нашли способ заставить Microsoft 365 Copilot извлекать конфиденциальные данные, такие как пароли, и отправлять их злоумышленникам с использованием тактики под названием «ASCII smuggling».
Для успешного проведения атаки ASCII smuggling требуется следующее:
- Copilot для Microsoft 365 должен читать содержание электронного письма или прикрепленного документа.
- Необходимо наличие доступа к дополнительным программам, таким как Slack.
- Нужно смочь «пронести» специальный запрос с помощью специальных символов Unicode, которые выглядят как ASCII, но на самом деле не отображаются в пользовательском интерфейсе.
Как объясняют исследователи из Embrace the Red, обнаружившие уязвимость, Microsoft 365 Copilot может быть запрограммирован на чтение и анализ содержания входящих электронных писем и вложений. Если это письмо или вложение направит инструкции Copilot искать пароли, адреса электронной почты или другие конфиденциальные данные в Slack или в другом месте, он выполнит эти команды.
Скрытые команды и невидимый текст
В конечном итоге, если такой вредоносный запрос будет спрятан в вложении или письме с помощью специальных Unicode символов, которые делают его невидимым для жертвы, они могут, сами того не зная, заставить своего AI-чатбота передать конфиденциальные данные злоумышленникам.
Чтобы доказать свои выводы, исследователи поделились демонстрациями эксплойтов с Microsoft, показывая, как можно извлекать конфиденциальные данные, такие как продажи и коды многофакторной аутентификации, и затем их декодировать.
«Электронная почта — это не единственный способ доставки такого эксплойта. Принудительное совместное использование документов или извлечение данных через RAG (retrieval-augmented generation) также могут быть использованы для внедрения команд», заключает отчет.
В своем докладе исследователи предложили Microsoft 365 Copilot прекратить интерпретировать и обрабатывать кодовые точки Unicode Tags.
Отчет также предупреждает: «Обработка кликабельных гиперссылок может привести к фишингу и мошенничеству (включая утечку данных). Автоматическое выполнение инструментов представляет проблему, пока не будут устранены уязвимости в связи с внедрением команд, так как злоумышленник может таким образом вызывать инструменты, (1) внося конфиденциальную информацию в контекст запроса, и (2) вероятно, инициируя действия».
Microsoft уже устранила данную уязвимость.
Источник: TechRadar
