Güvenlik araştırmacısı Michael Bargury, yakın zamanda düzenlenen Black Hat USA konferansında Microsoft Copilot’taki endişe verici güvenlik açıklarını ortaya çıkararak, bilgisayar korsanlarının bu yapay zeka destekli aracı kötü amaçlı amaçlar için nasıl istismar edebileceğini gösterdi.
Bu durum, kuruluşların Microsoft Copilot gibi yapay zeka teknolojilerini kullanırken güvenlik önlemlerini yeniden değerlendirmeleri gerektiğinin acil bir gereklilik olduğunu ortaya koyuyor.
Bargury’nin sunumu, saldırganların siber saldırılar gerçekleştirmek için Microsoft Copilot’u kullanabileceği çeşitli yöntemleri vurguladı. Önemli ifşaatlardan biri, Copilot eklentilerinin diğer kullanıcıların etkileşimlerine arka kapılar kurmak için kullanılmasıydı, böylece veri hırsızlığı kolaylaştırıldı ve AI destekli sosyal mühendislik saldırıları sağlandı.
Copilot’un yeteneklerinden yararlanan bilgisayar korsanları, dosya ve veri korumasına odaklanan geleneksel güvenlik önlemlerini aşarak hassas verileri gizlice arayabilir ve çıkarabilir.
Bu, Copilot’un davranışlarının, yapay zekanın tepkilerini bilgisayar korsanının amaçlarına uyacak şekilde değiştiren hızlı enjeksiyonlar yoluyla değiştirilmesiyle gerçekleştirilir.
Araştırma ekibi, Microsoft 365 uygulamalarıyla entegre olarak görevleri kolaylaştırmak için tasarlanan Copilot’un, bilgisayar korsanları tarafından kötü amaçlı faaliyetler gerçekleştirmek üzere nasıl manipüle edilebileceğini gösterdi.
Copilot’un yeteneklerinden yararlanarak, bilgisayar korsanları gizlice hassas verileri arayabilir ve çıkarabilir, dosya ve veri korumasına odaklanan geleneksel güvenlik önlemlerini atlatabilir. Bu, bilgisayar korsanının hedeflerine uyması için yapay zekanın tepkilerini değiştiren bir teknik olan hızlı enjeksiyonlar yoluyla Copilot’un davranışını değiştirerek elde edilir.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access
Bu istismarın en endişe verici yönlerinden biri, yapay zeka tabanlı sosyal mühendislik saldırılarını kolaylaştırma potansiyelidir. Bilgisayar korsanları, Copilot’u ikna edici kimlik avı e-postaları hazırlamak veya kullanıcıları gizli bilgileri ifşa etmeye kandırmak için etkileşimleri manipüle etmek için kullanabilir.
Bu yetenek, siber suçluların kullandığı karmaşık yöntemlere karşı koymak için güçlü güvenlik önlemlerine olan ihtiyacı vurguluyor.
LOL Pilot
Bu güvenlik açıklarını göstermek için Bargury, “LOLCopilot” adlı bir kırmızı takım aracı tanıttı. Bu araç, etik hackerların saldırıları simüle etmesi ve Copilot’un oluşturduğu potansiyel tehditleri anlaması için tasarlanmıştır.
LOLCopilot, varsayılan yapılandırmaları kullanarak herhangi bir Microsoft 365 Copilot etkinleştirilmiş kiracı içinde çalışır ve etik korsanların sistem günlüklerinde iz bırakmadan Copilot’un veri sızdırma ve kimlik avı saldırıları için nasıl kötüye kullanılabileceğini keşfetmelerine olanak tanır.
Black Hat’teki gösteri, Microsoft Copilot’un varsayılan güvenlik ayarlarının bu tür istismarları önlemek için yetersiz olduğunu ortaya koydu. Aracın büyük miktarda veriye erişme ve bunları işleme yeteneği, özellikle izinler dikkatlice yönetilmiyorsa önemli bir risk oluşturur.
Kuruluşların bu riskleri azaltmak için düzenli güvenlik değerlendirmeleri, çok faktörlü kimlik doğrulama ve sıkı rol tabanlı erişim kontrolleri gibi sağlam güvenlik uygulamalarını uygulamaları önerilir.
Ayrıca, kuruluşların çalışanlarını Copilot gibi yapay zeka araçlarıyla ilişkili potansiyel riskler konusunda eğitmeleri ve kapsamlı olay yanıt protokolleri oluşturmaları da hayati önem taşıyor.
Şirketler, güvenlik önlemlerini artırarak ve güvenlik farkındalığı kültürünü teşvik ederek, yapay zeka teknolojilerinin istismarına karşı kendilerini daha iyi koruyabilirler.
Download Free Cybersecurity Planning Checklist for SME Leaders (PDF) – Free Download