Критична уязвимост в сигурността на Microsoft 365 Copilot е позволявала кражба на чувствителна потребителска информация чрез сложна верига от експлойти.
Открита от изследователя в сферата на киберсигуростта Йохан Рехбергер, тя комбинира:
- въвеждане на команда към Copilot чрез злонамерен имейл или споделен документ;
- автоматично активиране на инструмент за достъп до данните на таргетираната система;
- ASCII Smuggler за скриване на ексфилтрираната информация;
- предаване на хипервръзки към контролирани от атакуващия домейни.
Най-иновативният аспект в случая е ASCII Smuggler. Той използва специални Unicode символи, които са невидими в потребителския интерфейс. По този начин атакуващият може да вгради откраднатите данни в привидно безобидни хипервръзки, а когато потребителят щракне върху тях, скритата информация се изпраща до сървъра на нападателя.
Уязвимостта вече е отстранена от Microsoft, макар че от компанията не разкриват подробности по темата.