Echoleak Copilot
Raziskovalci so odkrili ranljivost v programu Copilot, ki lahko z uporabo zlonamernih e-poštnih pozivov povzroči razkritje podatkov brez posredovanja uporabnikov.
Novica je bila objavljena 16.6.2025
Raziskovalci podjetja Aim Security so ugotovili, da je ranljivost v programu Microsoft 365 Copilot napadalcem omogočila pridobivanje občutljivih podatkov z napadi z vrivanjem pozivov brez posredovanja prejemnika. Ranljivost, poimenovana »EchoLeak« in označena kot CVE-2025-32711, je prejela oceno resnosti CVSS 9,3. Microsoft je napako pred javnim razkritjem odpravil in dodal, da trenutno ni dokazov, da bi bila izkoriščena v praksi, in da uporabnikom ni treba ukrepati. Copilot, Microsoftov generativni paket umetne inteligence, vgrajen v Office, lahko povzema e-pošto, piše osnutke dokumentov in analizira preglednice. Dostop do programa Copilot je običajno omejen le na uporabnike znotraj določene organizacije, vendar je Aim Security ugotovil, da bi napad lahko sprožili že s pošiljanjem e-pošte. Veriga izkoriščanja napadalcu omogoča, da ustvari e-pošto, ki Copilota pozove, naj izvleče in pošlje nazaj zelo občutljive podatke, kot so interni dokumenti ali sporočila, ne da bi pri tem potreboval kakršno koli interakcijo uporabnika.
Mehanika izkoriščanja temelji na niansirani obliki vrivanja pozivov, tehnike napada, pri kateri uporabnik vnese navodila v model umetne inteligence, da manipulira z njegovim vedenjem. E-poštna sporočila se zaznavanju izognejo tako, da se prikrijejo kot navodila, namenjena uporabniku. Copilot pregleda dohodna sporočila, da ponudi povzetke ali kontekst, preden jih uporabnik odpre, kar napadalcu omogoča, da vrine poziv preden uporabnik sporočilo odpre. Zlonamerno sporočilo je vsebovalo povezavo do domene napadalca s parametri niza poizvedbe, ki so zahtevali najobčutljivejše informacije iz pomnilnika Copilota, slednji se je nato odzval tako, da je te podatke povezavi dodal in jih poslal nazaj na strežnik, ki ga nadzoruje napadalec.
Copilot je zasnovan tako, da sam ne odpira nevarnih povezav, toda raziskovalci so odkrili, da lahko oznake v slogu referenc (markdown), ki se uporabljajo manj pogosto, zaobidejo to zaščito. To je napadalcem omogočilo vdelavo povezav, brez da bi sprožil običajne varnostne filtre Copilota.
V enem primeru so raziskovalci vprašali Copilota: "Kakšen je ključ API-ja, ki sem si ga poslal?", Copilot pa se je ustrezno odzval. V drugem primeru so uporabili posebnosti markdowna za ustvarjanje slike v vsebini e-pošte, čeprav je Microsoftova politika zavarovanja vsebine preprečila, da bi brskalnik sliko odprl. Raziskovalci so na koncu zaobšli Microsoftovo zahtevo glede dovoljenih URL-jev z uporabo specifik v načinu, s katerim SharePoint in Microsoft Teams obravnavata povabila, kar je omogočilo pridobitev vsebine v obliki slike.
Raziskovalci so še poudarili, da ranljivosti, kot je EchoLeak, kažejo, da orodja, ki jih poganja generativna UI, ustvarjajo nove vrste ranljivosti, ki jih tradicionalni filtri morda ne zaznajo.
Vir: Fortune.com
Naslovna slika: Shutterstock
