Уязвимост в Microsoft Copilot позволява кражбата на лични данни

Критична уязвимост в сигурността на Microsoft 365 Copilot е позволявала кражба на чувствителна потребителска информация чрез сложна верига от експлойти.  

Открита от изследователя в сферата на киберсигуростта Йохан Рехбергер, тя комбинира: 

• въвеждане на команда към Copilot чрез злонамерен имейл или споделен документ;
• автоматично активиране на инструмент за достъп до данните на таргетираната система; 
• ASCII Smuggler за скриване на ексфилтрираната информация; 
• предаване на хипервръзки към контролирани от атакуващия домейни. 

Най-иновативният аспект в случая е ASCII Smuggler. Той използва специални Unicode символи, които са невидими в потребителския интерфейс. По този начин атакуващият може да вгради откраднатите данни в привидно безобидни хипервръзки, а когато потребителят щракне върху тях, скритата информация се изпраща до сървъра на нападателя.  

Уязвимостта вече е отстранена от Microsoft, макар че от компанията не разкриват подробности по темата.