Copilot: Microsoft ofiarą pierwszego naruszenia bezpieczeństwa
Krytyczna wada nazwana EchoLeak została odkryta w usłudze Microsoft 365 Copilot, umożliwiająca eksfiltrację poufnych danych bez żadnej interakcji użytkownika. Sklasyfikowana jako CVE-2025-32711 z wynikiem CVSS wynoszącym 9,3, ta luka zero-click wykorzystywała wewnętrzne mechanizmy generatywnych modeli językowych. Badacze z Aim Security zademonstrowali, w jaki sposób prosty złośliwy e-mail może ominąć wszystkie zabezpieczenia, aby wykraść dokumenty Outlook, OneDrive i SharePoint.
Sommaire
- 1 EchoLeak: Kiedy sztuczna inteligencja staje się wektorem ataku
- 2 Zespół Aim Security udokumentował szczególnie wyrafinowany atak łańcuchowy. Oto, w jaki sposób hakerzy byli w stanie przejąć dane bez wzbudzania podejrzeń:
- 2.1 Pozornie niegroźny e-mail zawierał ukryte instrukcje dla Copilota, starannie sformułowane w celu uniknięcia ataków typu Cross-Prompt Injection (XPIA). Nie użyto żadnych terminów, takich jak „AI” lub „polecenie”, co oszukało filtry bezpieczeństwa.
- 2.2 Copilot został zmanipulowany, aby utworzyć linki Markdown odwołujące się do domen zewnętrznych. Te linki ominęły kontrole bezpieczeństwa, ponieważ model nie zidentyfikował ich jako zagrażających.
- 2.3 Zamiast polegać na kliknięciu przez użytkownika, atak wymusił automatyczne ładowanie obrazów Markdown. Co jest unikalną cechą? Obrazy te wskazywały na serwery kontrolowane przez atakujących.
- 2.4 Genialny pomysł: użycie programu SharePoint jako przekaźnika. Ponieważ ta platforma została autoryzowana w zasadach bezpieczeństwa treści (CSP), skradzione dane przeszły przez legalną infrastrukturę.
- 3 To naruszenie pokazuje, że nowoczesne usługi cyfrowe wymagają zmienionego podejścia do bezpieczeństwa. Wymaganych jest kilka środków:
- 4 LLM wprowadzają nowe wektory ataków
- 5 Dlaczego testy bezpieczeństwa nie wykryły tej luki?
EchoLeak: Kiedy sztuczna inteligencja staje się wektorem ataku
Asystenci AI, tacy jak Copilot, polegają na architekturze generacji rozszerzonej pobierania (RAG), która przeszukuje wewnętrzne bazy danych w celu zapewnienia kontekstowych odpowiedzi. To właśnie ten mechanizm wykorzystał EchoLeak. W przeciwieństwie do tradycyjnych ataków wymierzonych w zapory sieciowe lub hasła, ta wada atakuje samą logikę modelu językowego. Konsekwencje są poważne:
Nie trzeba klikać łącza ani otwierać załącznika
- Możliwe wykradanie danych oznaczonych jako poufne
- Obejście zasad zapobiegania utracie danych (DLP)
- Wykorzystywanie za pośrednictwem legalnych platform Microsoft, takich jak SharePoint
- Microsoft szybko zareagował, wprowadzając poprawkę serwera w czerwcu 2025 r., ale ten epizod przypomina, że
technologie generatywne wprowadzają nowe zagrożenia w zakresie cyberbezpieczeństwa .Czteroetapowy mechanizm eksploatacji
Zespół Aim Security udokumentował szczególnie wyrafinowany atak łańcuchowy. Oto, w jaki sposób hakerzy byli w stanie przejąć dane bez wzbudzania podejrzeń:
1. Ukryty atak typu Prompt Injection
Pozornie niegroźny e-mail zawierał ukryte instrukcje dla Copilota, starannie sformułowane w celu uniknięcia ataków typu Cross-Prompt Injection (XPIA). Nie użyto żadnych terminów, takich jak „AI” lub „polecenie”, co oszukało filtry bezpieczeństwa.
2. Generowanie złośliwych linków
Copilot został zmanipulowany, aby utworzyć linki Markdown odwołujące się do domen zewnętrznych. Te linki ominęły kontrole bezpieczeństwa, ponieważ model nie zidentyfikował ich jako zagrażających.
3. Omijanie zabezpieczeń obrazów
Zamiast polegać na kliknięciu przez użytkownika, atak wymusił automatyczne ładowanie obrazów Markdown. Co jest unikalną cechą? Obrazy te wskazywały na serwery kontrolowane przez atakujących.
4. Wykorzystywanie białych list firmy Microsoft
Lekcje dla administratorów
To naruszenie pokazuje, że nowoczesne usługi cyfrowe wymagają zmienionego podejścia do bezpieczeństwa. Wymaganych jest kilka środków:
Audyt uprawnień konta SharePoint Ograniczenie Copilot tylko do wewnętrznych wymian Aktualizacja zasad DLP w celu uwzględnienia wyników AI
- Monitorowanie nietypowych żądań API do LLM
- Microsoft zaleca teraz wyłączenie przetwarzania przez Copilot zewnętrznych wiadomości e-mail w środowiskach wrażliwych. To podstawowe środki ostrożności, które mogłyby zapobiec wielu problemom. Przyszłość asystentów AI w biznesie
- EchoLeak oznacza punkt zwrotny w
- bezpieczeństwie IT
narzędzi generatywnych. Firmy muszą teraz wziąć pod uwagę, że:
LLM wprowadzają nowe wektory ataków
Tradycyjne zasady bezpieczeństwa są niewystarczające Szkolenie użytkowników nie wystarczy, aby zwalczać zero-click Audytowanie modeli AI musi stać się systematyczne
- Dostawcy prawdopodobnie będą musieli opracować dedykowane rozwiązania, aby zabezpieczyć te nowe interfejsy człowiek-maszyna. W międzyczasie najlepszą obroną pozostaje zasada najmniejszych uprawnień.
- Microsoft staje przed wyzwaniami związanymi z bezpieczną AI
- Odcinek EchoLeak pokazuje granice
- rozwoju
szybkie wdrażanie funkcji AI. Microsoft zareagował odpowiednio, ale pozostają pytania:
Dlaczego testy bezpieczeństwa nie wykryły tej luki?
Jak możemy poprawić odporność modeli na wstrzyknięcia? Czy LLM-y należy izolować od krytycznych danych? Jedno jest pewne: era asystentów AI wymaga nowego podejścia do cyberbezpieczeństwa, w którym każda interakcja musi być uznawana za potencjalnie wrogą. Stare receptury już nie wystarczą.
Derniers Articles
- Jak otrzymywać powiadomienia push w aplikacji Telegram za każdym razem, gdy użytkownik zaloguje się na Twoim komputerze z systemem Windows
- Odkryj na nowo duszę systemu Windows 10: Jak ożywić komputer, jeśli system Windows 11 Cię nie przekonuje
- Przekształć swój stary komputer: Flyby11 ułatwia instalację systemu Windows 11 bez modułu TPM lub bezpiecznego rozruchu
- Dowiedz się, jak włączyć dwa ukryte ustawienia zabezpieczeń w systemie Windows 11
- Microsoft wprowadza funkcję w systemie Windows 11… a następnie usuwa ją rok później, ponieważ nie cieszyła się powszechną popularnością
- Microsoft mierzy się z rzeczywistością: użytkownicy ignorują TPM 2.0 w systemie Windows 11
Comments
Leave a comment