EchoLeak adlı yeni bir saldırı tekniği, kötü aktörlerin Microsoft 365 Copilot’un bağlamından duyarlı verileri herhangi bir kullanıcı etkileşiminden sing yapmasına izin veren “sıfır tıkaç” yapay zeka (AI) kırılganlığı olarak nitelendirilmiştir.
Kritik dereceli güvenlik açığı CVE-2025-32711 (CVSS skoru: 9.3) CVE tanımlayıcısı atanmıştır. Müşteri eylemi gerektirmez ve zaten Microsoft tarafından ele alınmıştır. Ekranların vahşi doğada kötü niyetli bir şekilde kullanıldığına dair bir kanıt yoktur.
Şirket, “M365 Copilot’taki AI komut enjeksiyonu, yetkisiz bir saldırganın bir ağ üzerinden bilgileri ifşa etmesine izin veriyor.” Dedi. O zamandan beri Haziran 2025 için Microsoft’un Salı listesine eklendi ve toplam sabit kusur sayısını 68’e çıkardı.
Sorunu keşfeden ve bildiren AIM Güvenliği, bunun dolaylı hızlı enjeksiyonun yolunu açan ve istenmeyen davranışlara yol açan büyük dil modeli (LLM) kapsam ihlali örneği olduğunu söyledi.
LLM kapsam ihlali, bir saldırganın güvenilmez içeriğe gömülü talimatları, örneğin, bir kuruluş dışından gönderilen bir e -posta, AI sistemine açık bir kullanıcı niyeti veya etkileşimi olmadan ayrıcalıklı iç verilere erişmeye ve işlenmeye başarıyla kandırdığında meydana gelir.
İsrail Siber Güvenlik Şirketi, “Zincirler, saldırganların M365 Copilot bağlamından, kullanıcının farkındalığından veya belirli bir mağdur davranışına güvenmeden M365 Copilot bağlamından duyarlı ve tescilli bilgileri otomatik olarak dışarı atmasına izin veriyor.” Dedi. “Sonuç, M365 Copilot’un arayüzünün yalnızca organizasyon çalışanlarına açık olmasına rağmen elde ediliyor.”
Saldırı dizisi aşağıdaki gibi ortaya çıkıyor –
- Enjeksiyon: Saldırgan, bir çalışanın Outlook gelen kutusuna LLM Scope İhlal İstismarını içeren zararsız görünümlü bir e-posta gönderir
- Kullanıcı Microsoft 365 Copilot’a işle ilgili bir soruyu sorar (örneğin, kazanç raporlarını özetleyin ve analiz edin)
- Kapsam İhlali: Copilot, güvenilmez saldırıya uğramış girişi hassas verilerle LLM bağlamına, geri kazanılan nesil (RAG) motoru ile karıştırır
- Erişim: Copilot, Microsoft Teams ve SharePoint URL’leri aracılığıyla hassas verileri saldırgana sızdırıyor
AIM Security, “Sıfır tıkanık bir AI güvenlik açığı olarak, EchoLeak, motive edilmiş tehdit aktörleri için veri açığa çıkma ve gasp saldırıları için kapsamlı fırsatlar açıyor.” Dedi. “Sürekli gelişen bir ajan dünyasında, ajanların ve sohbet botlarının tasarımında bulunan potansiyel riskleri sergiliyor.”
“Saldırı, saldırganın mevcut LLM bağlamından en hassas verileri yaymasına izin vermesiyle sonuçlanır-ve LLM, LLM bağlamından en hassas verilerin sızdırıldığından, belirli kullanıcı davranışına dayanmadığından ve hem tek dönüş konuşmalarında hem de çok dönüşlü konuşmalarda yürütülebileceğinden emin olmak için kullanılmaktadır.”
MCP ve Gelişmiş Takım Zehirlenmesi
Açıklama, Cyberark’ın model bağlam protokolü (MCP) standardını etkileyen ve tüm araç şeması boyunca uzatmak için araç açıklamasının ötesine geçen bir araç zehirleme saldırısı (TPA) açıkladığı için ortaya çıkar. Saldırı tekniğine tam şema zehirlenmesi (FSP) olarak adlandırılmıştır.
Güvenlik araştırmacısı Simcha Kosman, “Takım zehirlenmesi saldırılarına yönelik dikkatin çoğu açıklama alanına odaklanmış olsa da, bu diğer potansiyel saldırı yüzeyini büyük ölçüde hafife alıyor.” Dedi. “Araç şemasının her kısmı sadece açıklama değil, potansiyel bir enjeksiyon noktasıdır.”
Siber güvenlik şirketi, sorunun MCP’nin sözdizimsel doğruluğunu semantik güvenliğe eşitleyen “temelde iyimser güven modelinde” kök saldığını ve LLM’nin sadece açıkça belgelenmiş davranışlara neden olduğunu varsaydığını söyledi.
Dahası, TPA ve FSP, gelişmiş takım zehirlenmesi saldırılarını (ATPA) sahne almak için silahlandırılabilir, burada saldırgan iyi huylu bir açıklama ile bir araç tasarlar, ancak LLM’yi iddia edilen sorunu ele almak için hassas verilere (örneğin, SSH tuşları) erişmeye yönlendiren sahte bir hata mesajı görüntüler.
Kosman, “LLM ajanları daha yetenekli ve özerk hale geldikçe, MCP gibi protokoller aracılığıyla dış araçlarla etkileşimleri ne kadar güvenli ve güvenilir bir şekilde çalıştıklarını tanımlayacak.” Dedi. “Araç zehirlenmesi saldırıları – özellikle ATPA gibi gelişmiş formlar – mevcut uygulamalarda kritik kör noktaları ortaya koyuyor.”
Hepsi bu değil. MCP’nin AI temsilcilerinin (veya asistanların) çeşitli araçlar, hizmetler ve veri kaynakları ile tutarlı bir şekilde etkileşime girmesini sağladığı göz önüne alındığında, MCP istemci-sunucu mimarisindeki herhangi bir güvenlik açığı, bir ajanı sızıntı yapmak veya kötü niyetli kod yürütmek de dahil olmak üzere ciddi güvenlik riskleri oluşturabilir.
Bu, popüler GitHub MCP entegrasyonunda, başarılı bir şekilde sömürülürse, bir saldırganın kötü niyetli bir gitithub sorunu aracılığıyla bir kullanıcının temsilcisini ele geçirmesine izin verebilecek yakın zamanda açıklanan bir kritik güvenlik kusurunda kanıtlanmıştır ve kullanıcı “sorunlara bir göz atmak” için modeli istediği zaman özel depolardan sızdırmaya zorlarsa.
Değişmez Labs araştırmacıları Marco Milanta ve Luca Beurer-Kellner, “Sorun, kamu deponunun sorunları listesini sorgular yapmaz, kamuya açık deponun sorunları listesini sorgulamaz yürütülecek bir yük içeriyor.” Dedi.
Bununla birlikte, güvenlik açığı, sunucu tarafı yamaları aracılığıyla tek başına GitHub tarafından ele alınamaz, çünkü daha çok “temel bir mimari sorun “dur, kullanıcıların ajanın yalnızca ajanlar ve MCP sistemleri arasında etkileşim kurması ve sürekli olarak denetlenmesi gereken depolara erişmesini sağlamak için ayrıntılı izin kontrolleri uygulamalarını gerektirir.
MCP yeniden başlatma saldırısına yol açın
MCP’nin “kurumsal otomasyon ve ajan uygulamaları için bağ dokusu” olarak hızlı yükselişi, MCP sunucuları tarafından MCP istemcileri için gerçek süreli akış iletişimi için kullanılan bir protokol olan bir protokol olan bir protokol olan Sunuculandırma Olayları (SSE) olan Hassas Verilere erişmek için Etki Adı Sistemi (DNS) Yeniden Bağlantı gibi yeni saldırı caddeleri açtı.
DNS yeniden başlatma saldırıları, bir kurbanın tarayıcısını harici bir etki alanını iç ağa (yani Localhost) aitmiş gibi muamele etmek için kandırmayı gerektirir. Aynı orijin politikası (SOP) kısıtlamalarını atlatmak için tasarlanan bu saldırılar, bir kullanıcı kimlik avı veya sosyal mühendislik yoluyla saldırgan tarafından kurulan kötü amaçlı bir siteyi ziyaret ettiğinde tetiklenir.
GitHub’ın Jaroslav Lobavski, bu hafta yayınlanan DNS Rebinding açıklayıcısında, “Tarayıcı güvenlik mekanizması ve ağ oluşturma protokolleri arasında bir kopukluk var.” Dedi. “Web sayfası ana bilgisayarının çözülmüş IP adresi değişiyorsa, tarayıcı bunu dikkate almaz ve web sayfasına kökeni değişmemiş gibi davranır. Bu saldırganlar tarafından istismar edilebilir”
Bu davranış esas olarak, kötü amaçlı bir siteden istemci tarafı JavaScript’in güvenlik kontrollerini atlamasına ve kurbanın özel ağındaki kamuya açık internete maruz kalmayan diğer cihazları hedeflemesine izin verir.
 |
| MCP Yeniden Yeniden Saldırı |
MCP Rebinding Saldırısı, SSE üzerinden Localhost’ta çalışan MCP sunucusuyla etkileşime girecek ve sonuçta gizli verileri pessat etmek için, düşman kontrollü bir web sitesinin kurbanın yerel ağındaki dahili kaynaklara erişme yeteneğinden yararlanır.
Straiker AI Research (STAR) ekibi geçen ay yayınlanan bir analizde, “SSE’nin uzun ömürlü bağlantılarını kötüye kullanarak, saldırganlar dahili MCP sunucularını hedeflemek için harici bir kimlik avı alanından dönebilir.” Dedi.
SSE’nin Kasım 2024’ten itibaren DNS’nin yeniden başlatma saldırılarının ortaya koyduğu riskler nedeniyle akışlanabilir HTTP lehine kullanımdan kaldırıldığını belirtmek gerekir. Bu tür saldırıların tehdidini azaltmak için, MCP sunucularında kimlik doğrulamasını uygulamanız ve isteklerin güvenilir kaynaklardan gelmesini sağlamak için MCP sunucusuna gelen tüm bağlantılardaki “Origin” başlığını doğrulamanız önerilir.