Araştırmacılar, Microsoft 365 Copilot’taki kritik bir güvenlik açığının saldırganların karmaşık bir istismar zinciri aracılığıyla hassas kullanıcı bilgilerini sızdırmasına izin verdiğini ortaya çıkardı. O zamandan beri yamalanan güvenlik açığı, güvenlik kontrollerini atlatmak ve kişisel verileri çalmak için birden fazla tekniği birleştirdi.
Güvenlik araştırmacısı Johann Rehberger tarafından keşfedilen istismar zinciri, hızlı enjeksiyon, otomatik araç çağrısı ve ASCII kaçakçılığı adı verilen yeni bir tekniği kullanıyordu. Dikkatlice hazırlanmış hızlı enjeksiyon yükü içeren kötü amaçlı bir e-posta veya paylaşılan belgeyle başladı.
Bu yük, Copilot’a kullanıcı etkileşimi olmadan ek e-postalar ve belgeler araması talimatını verdi ve hassas içerikleri sohbet bağlamına getirdi. Özellikle, istismar otomatik araç çağrısını tetikleyerek Copilot’un Slack MFA kodları veya satış rakamları gibi verileri diğer kaynaklardan almasına neden olabilir.
En yenilikçi yön, sızdırılan verileri gizlemek için ASCII kaçakçılığının kullanılmasıydı. Bu teknik, ASCII’yi yansıtan ancak kullanıcı arayüzünde görünmeyen özel Unicode karakterleri kullanır. Saldırgan, bu gizli verileri görünüşte zararsız tıklanabilir köprü metinlerinin içine yerleştirebilir.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Bir kullanıcı bağlantıya tıkladığında, gizli hassas bilgiler saldırgan tarafından kontrol edilen bir sunucuya gönderilecekti. Rehberger, satış rakamlarının ve MFA kodlarının bu yöntem kullanılarak nasıl çalınabileceğini ve çözülebileceğini gösterdi.
Tüm exploit zinciri bir arada:
- Kötü amaçlı içerik yoluyla anında enjeksiyon
- Ek verilere erişmek için otomatik araç çağrısı
- Sızdırılan bilgileri gizlemek için ASCII kaçakçılığı
- Saldırgan kontrolündeki etki alanlarına hiper bağlantıların oluşturulması.
Microsoft, Ocak 2024’te sorumlu bir açıklamanın ardından güvenlik açıklarını giderdi. Kesin düzeltme ayrıntıları belirsiz olsa da, orijinal kavram kanıtı istismarları artık çalışmıyor ve bağlantı oluşturmanın değiştirilmiş gibi görünüyor.
Johann Rehberger, “Microsoft’un güvenlik açığını tam olarak nasıl düzelttiği ve hangi azaltma önerilerinin uygulandığı belirsiz. Ancak Ocak ve Şubat aylarında oluşturup onlarla paylaştığım istismarlar artık çalışmıyor” diye ekledi.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial