Vulnerabilitate zero-click care permite scurgerea de date prin intermediul AI descoperită în Microsoft 365 Copilot
O vulnerabilitate critică recent remediată în instrumentul AI Copilot al Microsoft ar fi putut permite unui atacator la distanță să fure date sensibile dintr-o organizație prin simpla trimitere a unui e-mail, afirmă cercetătorii.
Urmărește cele mai noi producții video TechRider.ro
- articolul continuă mai jos -
Noul atac, numit „EchoLeak”, este prima vulnerabilitate AI zero-click cunoscută care permite atacatorilor să sustragă date sensibile din Microsoft 365 Copilot din contextul unui utilizator fără interacțiune, potrivit BleepingComputer.
Atacul a fost conceput de cercetătorii Aim Labs în ianuarie 2025, care au raportat descoperirile lor către Microsoft. Gigantul tehnologic a atribuit identificatorul CVE-2025-32711 vulnerabilității care divulga informațiile sensibile, clasificându-l ca fiind critic, și l-a remediat la nivel de server în luna mai, astfel încât nu este necesară nicio acțiune din partea utilizatorilor.
De asemenea, Microsoft a menționat că nu există dovezi ale exploatării în lumea reală, și susține că acest defect nu a afectat niciun client.
Microsoft 365 Copilot este un asistent AI integrat în aplicațiile Office, precum Word, Excel, Outlook și Teams, care utilizează modelele GPT ale OpenAI și Microsoft Graph pentru a ajuta utilizatorii să genereze conținut, să analizeze date și să răspundă la întrebări pe baza fișierelor interne, e-mailurilor și chat-urilor organizației lor.
Deși a fost remediată și nu a fost niciodată exploatată în mod rău intenționat, EchoLeak are o importanță semnificativă pentru demonstrarea unei noi clase de vulnerabilități numite „LLM Scope Violation”, care determină un model lingvistic de mari dimensiuni (LLM) să divulge date interne privilegiate fără intenția sau interacțiunea utilizatorului.
Deoarece atacul nu necesită nicio interacțiune cu victima, acesta poate fi automatizat pentru a efectua exfiltrarea datelor companiilor, evidențiind cât de periculoase pot fi aceste vulnerabilități atunci când sunt utilizate împotriva sistemelor integrate cu AI.
Cum funcționează EchoLeak
Atacul începe cu un e-mail rău intenționat trimis către țintă, care conține text fără legătură cu Copilot și formatat pentru a arăta ca un document comercial obișnuit.
E-mailul încorporează o injecție ascunsă de prompturi, concepută pentru a instrui LLM să extragă și să exfiltreze date interne sensibile.
Deoarece promptul este formulat ca un mesaj normal adresat unui om, acesta ocolește protecțiile clasificatorului XPIA (cross-prompt injection attack) al Microsoft.
Ulterior, când utilizatorul adresează Copilot o întrebare legată de afaceri, e-mailul este recuperat în contextul promptului LLM de către motorul Retrieval-Augmented Generation (RAG) datorită formatării și relevanței sale aparente.
Injectarea rău intenționată, care ajunge acum la LLM, îl „păcălește” să extragă date interne sensibile și să le insereze într-un link sau o imagine special creată.
Aim Labs a descoperit că unele formate de imagine determină browserul să solicite imagini compromise, care trimit automat URL-ul, inclusiv datele încorporate, către serverul atacatorului.
Microsoft CSP blochează majoritatea domeniilor externe, dar URL-urile Microsoft Teams și SharePoint sunt de încredere, astfel încât acestea pot fi utilizate în mod abuziv pentru a exfiltra date fără probleme.
EchoLeak poate fi remediat, dar complexitatea crescândă și integrarea mai profundă a aplicațiilor LLM în fluxurile de lucru ale întreprinderilor depășesc deja capacitățile de apărare tradiționale.
Tehnologia AI aduce noi vulnerabilități
Aceeași tendință va crea cu siguranță noi vulnerabilități care pot fi exploatate de adversari pentru a lansa atacuri cu impact puternic.
Este important ca întreprinderile să își consolideze filtrele de injectare a prompturilor, să implementeze o definire granulară a domeniului de aplicare al intrărilor și să aplice filtre de post-procesare asupra ieșirilor LLM pentru a bloca răspunsurile care conțin linkuri externe sau date structurate.
În plus, motoarele RAG pot fi configurate pentru a exclude comunicațiile externe, pentru a evita atacurile prompturilor rău intenționate.
