‘EchoLeak’ olarak adlandırılan yeni bir saldırı, saldırganların Microsoft 365 kopilotundan bir kullanıcının bağlamından etkileşimsiz olarak duyarlı verileri sunmasını sağlayan ilk bilinen sıfır tıkalı AI güvenlik açığıdır.
Saldırı, bulgularını Microsoft’a bildiren Ocak 2025’te AIM Labs araştırmacıları tarafından tasarlandı. Teknoloji devi, CVE-2025-32711 tanımlayıcısını bilgi açıklama kusuruna, kritik derecelendirmeye ve Mayıs ayında BT sunucu tarafını düzeltmeye atadı, bu nedenle kullanıcı işlemi gerekmez.
Ayrıca Microsoft, gerçek dünya sömürüsüne dair bir kanıt olmadığını belirtti, bu nedenle bu kusur hiçbir müşteriyi etkilemedi.
Microsoft 365 Copilot, kullanıcıların içerik oluşturmalarına, verileri analiz etmelerine ve kuruluşlarının dahili dosyalarına, e -postalarına ve sohbetlerine göre cevap vermelerine yardımcı olmak için Openai’nin GPT modellerini ve Microsoft grafiğini kullanan Word, Excel, Outlook ve ekipler gibi ofis uygulamalarına yerleştirilmiş bir AI asistanıdır.
Sabit ve asla kötü niyetli bir şekilde sömürülmemiş olsa da, EchoLeak, ‘LLM kapsam ihlali’ adı verilen yeni bir güvenlik açıkları sınıfını göstermek için önem taşır, bu da büyük bir dil modelinin (LLM) kullanıcı amacı veya etkileşimi olmadan ayrıcalıklı iç verileri sızdırmasına neden olur.
Saldırı, kurbanla etkileşim gerektirmediğinden, kurumsal ortamlarda sessiz veri sızıntısı gerçekleştirmek için otomatikleştirilebilir ve bu kusurların AI-entegre sistemlere karşı konuşlandırıldığında ne kadar tehlikeli olabileceğini vurgulamaktadır.
EchoLeak nasıl çalışır?
Saldırı, Copilot ile ilgisi olmayan ve tipik bir iş belgesi gibi görünecek şekilde biçimlendirilmiş metin içeren hedefe gönderilen kötü niyetli bir e -posta ile başlar.
E -posta, LLM’ye hassas dahili verileri ayıklama ve pessat etmeleri için talimat vermek için hazırlanmış gizli bir istemi enjeksiyonu yerleştirir.
İstem bir insana normal bir mesaj gibi ifade edildiğinden, Microsoft’un XPIA (çapraz Prompt Enjeksiyon Saldırısı) sınıflandırıcı korumalarını atlar.
Daha sonra, kullanıcı Copilot’a ilgili bir işletme sorusunu sorduğunda, e-posta, biçimlendirme ve görünür alaka düzeyi nedeniyle geri alınma artırılmış nesil (RAG) motoru ile LLM’nin hızlı bağlamına alınır.
Şimdi LLM’ye ulaşan kötü niyetli enjeksiyon, hassas dahili verileri çekmek ve hazırlanmış bir bağlantıya veya görüntüye eklemek için “kandırır”.
AIM laboratuvarları, bazı markdown görüntü formatlarının tarayıcının, URL’yi gömülü veriler de dahil olmak üzere otomatik olarak gönderen görüntünün saldırganın sunucusuna göndermesini istediğini buldu.
.jpg)
Kaynak: AIM Labs
Microsoft CSP çoğu harici alanı engeller, ancak Microsoft Teams ve SharePoint URL’lerine güvenilir, böylece bunlar sorunsuz bir şekilde verileri dışarı atmak için istismar edilebilir.
Kaynak: AIM Labs
EchoLeak düzeltilmiş olabilir, ancak LLM uygulamalarının iş akışlarına artan karmaşıklığı ve daha derin entegrasyonu zaten geleneksel savunmalardır.
Aynı eğilim, rakiplerin yüksek etkili saldırılar için gizlice sömürülebilecek yeni silahlandırılabilir kusurlar yaratmak zorunda.
İşletmelerin hızlı enjeksiyon filtrelerini güçlendirmesi, ayrıntılı giriş kapsamı uygulaması ve harici bağlantılar veya yapılandırılmış veriler içeren yanıtları engellemek için LLM çıkışına işleme sonrası filtreler uygulaması önemlidir.
Ayrıca, RAG motorları, ilk etapta kötü niyetli istemleri almaktan kaçınmak için harici iletişimi hariç tutacak şekilde yapılandırılabilir.
Yama, karmaşık senaryolar, uzun saatler ve sonsuz yangın tatbikatları anlamına gelir. Artık değil.
Bu yeni kılavuzda Tines, modern BT kuruluşlarının otomasyonla nasıl dengelendiğini bozuyor. Daha hızlı yama, ek yükü azaltın ve stratejik çalışmaya odaklanın – karmaşık komut dosyaları gerekmez.