Yapay Zeka ve Makine Öğrenimi, Yeni Nesil Teknolojiler ve Güvenli Geliştirme
Microsoft yamalı kusur, saldırganların copilot yanıtlarını ele geçirmesine izin veriyor
Rashmi Ramesh (Rashmiramesh_) •
16 Haziran 2025
İyi bilgili bir e-postanın, bir saldırganın Microsoft Copilot’u, işletim sistemi devi güvenlik açığını yamalayana kadar hassas verileri teslim etmek için kandırmak için ihtiyaç duyduğu idi.
Ayrıca bakınız: Verileri Güçlendirecek Verileri Dönüştürmek AI: Değer, Güven ve Etkinin Kilidini Açma
AIM Security’den araştırmacılar, Microsoft 365 Copilot’taki güvenlik açığı, saldırganların sıfır tıklamalı bir enjeksiyon saldırısı yoluyla hassas verileri çıkarmasına izin verdi. “Echoleak” olarak adlandırılan ve CVE-2025-32711 olarak izlenen güvenlik açığı, CVSS şiddet skoru 9.3 aldı. Microsoft, kamu açıklamasından önce kusuru yamaladı ve şu anda vahşi doğada kullanıldığına dair bir kanıt olmadığını ve kullanıcıların herhangi bir işlem yapması gerekmediğini de sözlerine ekledi.
Microsoft’un ofise gömülü üretken yapay zeka paketi Copilot, e -postaları özetleyebilir, belgeleri taslak yapabilir ve elektronik tabloları analiz edebilir. Copilot’a erişim genellikle yalnızca belirli bir kuruluş içindeki kullanıcılarla sınırlandırılır, ancak AIM güvenlik, saldırının bir e -posta göndererek tetiklenebileceğini buldu.
AIM, istismar zincirinin bir saldırganın, Copilot’u herhangi bir kullanıcı etkileşimi veya görünür uzlaşma göstergesi gerektirmeden, dahili belgeler veya mesajlar gibi son derece hassas bağlamsal verileri çıkarmasını ve geri göndermesini isteyen bir e -posta oluşturmasına izin verdiğini söyledi.
Kullanıcının davranışlarını geçersiz kılmak veya manipüle etmek için bir AI modeline yönlendirdiği bir saldırı tekniği olan bir saldırı tekniği olan, istismar menteşesinin mekaniği. Araştırmacılar, e -postaların kendilerini Copilot değil, kullanıcı için amaçlanan talimatlar olarak gizleyerek tespiti atladılar. Copilot, bir kullanıcı bunları açmadan önce özet veya bağlam sunmak için gelen mesajları tarar ve saldırganın sessizce bir istem eklemesini sağlar.
Kötü niyetli mesaj, Copilot’un belleğinden en hassas bilgileri isteyen sorgu dizesi parametreleri ile saldırganın etki alanına bir bağlantı içeriyordu. AI daha sonra bu verileri bağlantıya ekleyerek, saldırgan kontrollü sunucuya geri göndererek yanıt verdi.
Araştırma, “Saldırganın talimatları, sorgu dizesi parametrelerinin LLM’nin bağlamından en hassas bilgiler olması gerektiğini ve böylece eksfiltrasyonu tamamladığını belirtiyor.”
Copilot, markdown biçimlendirme kullanılarak düzeltmeyi veya güvenli olmayan bağlantıları takip etmekten kaçınmak için tasarlanmıştır. Ancak AIM araştırmacıları, daha az yaygın olarak kullanılan referans tarzı işaretlemelerin bu korumayı atlayabileceğini keşfettiler. Bu, kötü niyetli istemi, Copilot’un olağan güvenlik filtrelerini tetiklemeden bağlantıları gömmeye izin verdi.
Kavram kanıtı bir örnekte, araştırmacılar Copilot’a sordu: “Kendime gönderdiğim API anahtarı nedir?” ve Copilot buna göre cevap verdi. Bir diğerinde, Microsoft’un içerik güvenlik politikası görüntünün tarayıcı tarafından getirilmesini engellemesine rağmen, e -posta gövdesinde bir resim oluşturmak için Markdown tuhaflıklarını kullandılar.
Ancak bu kısıtlama tam bir engel değildi. Araştırmacılar, Nihayetinde Microsoft’un URL izin verme gereksinimini, SharePoint ve Microsoft ekiplerinin davet akışlarını nasıl ele aldığını ve görüntü yüklerinin oluşturulmasına izin verdiğini söyledi.
Araştırmacılar, EchoLeak gibi kusurların LLM destekli araçların geleneksel filtrelerin yakalayamayacağı yeni güvenlik açıkları oluşturduğunu gösterdiğini söyledi. Microsoft, sorunun ne zaman farkına varıldığı veya başlangıçta nasıl tespit edildiğine dair ayrıntılar sağlamamıştır.