Данные Microsoft 365 Copilot раскрыты – Подвержены уязвимости нулевого клика

Исследователи безопасности компании Aim Security обнаружили “EchoLeak”, первую известную уязвимость нулевого клика в искусственном интеллекте (ИИ) Microsoft 365 Copilot, которая позволила злоумышленникам незаметно извлекать конфиденциальные корпоративные данные, просто отправив злонамеренно составленное электронное письмо, которое не требовало взаимодействия с пользователем, нажатия на ссылки и загрузок.

“Эта уязвимость представляет собой значительный прорыв в исследовании безопасности ИИ, потому что она демонстрирует, как злоумышленники могут автоматически эксфильтровать самую чувствительную информацию из контекста Microsoft 365 Copilot без какого-либо взаимодействия с пользователем”, - сказал Адир Грус, соучредитель и технический директор Aim Security, описывая атаку нулевого клика.

Что такое EchoLeak?

Обнаруженная в январе 2025 года и раскрытая после исправления команды MSRC Microsoft в мае, EchoLeak могла позволить злоумышленникам эксфильтровать конфиденциальную информацию из подключенной среды Microsoft 365 пользователя, включая электронные письма Outlook, файлы OneDrive, документы Office, контент SharePoint и историю чатов Teams, просто отправив злонамеренно составленное электронное письмо. Это письмо обошло бы несколько средств безопасности и заставило бы Copilot раскрыть внутренние данные, которые он в противном случае сохранил бы в тайне.

Что еще более тревожно, так это то, что злоумышленнику не нужно быть сотрудником организации. Любой внешний отправитель мог бы инициировать атаку.

В блоге команды Aim Labs в среду было написано, что EchoLeak использовала концепцию, которую они описали как “Нарушение области большого языкового моделирования (LLM)”. В этом случае злонамеренный актор отправляет выглядящее безобидным электронное письмо, пропитанное скрытым запросом, замаскированным с помощью разметки markdown.

Когда пользователь позже задает Copilot связанный вопрос, ИИ извлекает электронное письмо из своего контекста и невольно выполняет встроенные инструкции, извлекая конфиденциальные данные из внутренних источников, таких как документы, электронные письма или чаты.

Затем запрос злоумышленника инструктирует Copilot встроить извлеченные данные в изображение или ссылку. Это заставляет браузер автоматически загружать ресурс, часто через доверенные домены Microsoft, такие как SharePoint или Teams, мгновенно отправляя конфиденциальную информацию на сервер, контролируемый злоумышленником, оставаясь при этом невидимой для пользователя.

Как работает цепочка атаки EchoLeak

Цепочка атаки работает в четыре этапа:

1. Обход XPIA

Microsoft использует систему под названием XPIA (атака кросс-промпт-инъекции), чтобы обнаруживать и блокировать подозрительные запросы, которые когда-либо достигали бы базового LLM M365 Copilot. Однако Aim Security обнаружила, что атаки инъекции запросов могут легко обходить классификаторы XPIA, если их формулировать как неформальные рекомендации для получателя электронного письма, полностью избегая слов, таких как ИИ/ассистенты/Copilot и т. д.

2. Обход редактирования ссылок

Обычно Copilot редактирует внешние ссылки markdown из истории чатов до того, как пользователь получит возможность нажать на эти ссылки.

Но, используя уловки, такие как ссылки в стиле ссылок, злоумышленники избегают фильтров редактирования Copilot и не удаляются из чата M365 Copilot. Эти ссылки затем тихо эксфильтруются в выводе LLM.

3. Обход редактирования изображений
Чтобы устранить необходимость в том, чтобы пользователь нажимал что-либо, злоумышленники используют ссылки на изображения в стиле ссылок. Браузер пытается “загрузить” изображение с сервера, контролируемого злоумышленником, что затем автоматически запускает эксфильтрацию данных без взаимодействия с пользователем.

4. Обход CSP с использованием SharePoint

Поскольку большинство внешних доменов блокируются политикой безопасности контента (CSP) Microsoft, исследователи направили свою уязвимость через санкционированные службы Microsoft, такие как SharePoint и Microsoft Teams. Это позволило злоумышленнику незаметно эксфильтровать конфиденциальные данные контекста Copilot без какого-либо взаимодействия с пользователем, обнаружения или дополнительных разрешений на доступ.

Помимо технических механизмов, уязвимость основывается на тактике, которую Aim Labs называет “RAG Spraying”, где злоумышленники повышают свою вероятность успеха, заполняя систему длинным электронным письмом, разбитым на части, или несколькими электронными письмами, составленными так, чтобы соответствовать вероятным запросам пользователей.

Как только Copilot извлекает злонамеренный контент, он невольно следует инструкциям злоумышленника, чтобы извлечь самые чувствительные данные из своего внутреннего контекста и отправить их на домен злоумышленника, оставаясь при этом без ведома пользователя.
Эта цепочка эксплуатации подчеркивает критические недостатки в дизайне того, как ИИ-ассистенты взаимодействуют с внутренними данными и интерпретируют пользовательские вводы.

Ответ Microsoft

Microsoft присвоила уязвимости нулевого клика CVE-2025-32711 с оценкой CVSS 9.3 и применила серверное исправление в мае 2025 года, что означало, что не требовалось вмешательство пользователя. Гигант из Редмонда также отметил, что нет никаких доказательств реальной эксплуатации, и не известно о пострадавших клиентах.

В свете уязвимости EchoLeak пользователям и организациям рекомендуется предпринять несколько проактивных шагов для снижения потенциальных рисков. К ним относятся отключение внешнего контекста электронной почты в Copilot для ограничения ненадежных источников данных, проверка входящих электронных писем на наличие запросов, внедрение специфических для ИИ защитных мер на уровне брандмауэра для мониторинга и блокировки необычного поведения, а также ограничение рендеринга markdown в выводах ИИ, чтобы предотвратить эксфильтрацию данных через ссылки и изображения.