Невидимая опасность: как злоумышленники пытались украсть данные из Microsoft 365 Copilot

В начале 2024 года стало известно о серьезной уязвимости в системе Microsoft 365 Copilot, которая могла стать инструментом для хищения конфиденциальной информации. Метод атаки, названный "контрабандой ASCII", представлял собой нечто новое и опасное, способное обмануть даже самых бдительных пользователей.

Как объяснил исследователь безопасности Йоханн Ребергер, контрабанда ASCII использует специальные символы Unicode, визуально неотличимые от обычных символов ASCII, но фактически являющиеся скрытыми данными. Злоумышленники могли использовать эту "невидимую" информацию для встраивания вредоносных гиперссылок в документы, генерируемые Copilot, и незаметно заставлять пользователя перейти по ним.

Вся атака представляла собой цепочку тщательно продуманных действий, направленных на обман пользователя:

1. Запуск внедрения запроса: Злоумышленники встраивали вредоносный контент в документ, который затем публиковался в чате Microsoft 365 Copilot.
2. Использование полезной нагрузки быстрого ввода: Вредоносный контент вызывал Copilot к поиску дополнительных электронных писем и документов.
3. Контрабанда ASCII: С помощью невидимых символов Unicode злоумышленники формировали ссылку, ведущую на сервер, контролируемый ими.
4. Обман пользователя: Пользователь, не подозревая о подвохе, переходил по "безобидной" ссылке, и ценные данные из его электронных писем, включая коды MFA, передавались на сервер злоумышленников.

Успешная атака могла привести к потере доступа к аккаунтам, краже конфиденциальных данных, финансовым потерям и многим другим неприятным последствиям.

К счастью, Microsoft отреагировала оперативно. После ответственного раскрытия информации в январе 2024 года компания устранила уязвимость, сделав Copilot более безопасным.