🔧 阿川の電商水電行
前言
最近,與脆弱性相關的文章受到越來越多的關注 @nix。
背景
Microsoft 365 Copilot 作為可以訪問業務數據的 AI 正在普及,但因其自動解析內容的特性,存在被惡意利用的風險。過去的「EchoLeak」事件中,發生了不需要用戶操作的零點擊信息洩漏,並且 Microsoft 進行了修復。然而,即使在零點擊路徑被封鎖後,攻擊者仍然在持續適應其他手法。
概述
GBHackers 報告的攻擊手法是讓惡意文檔被 Copilot 總結以提取內部數據,並根據其總結結果生成偽造的登錄按鈕等來引導用戶,這是一種一鍵式的手法。與 EchoLeak 的零點擊型不同的是,這種「AI 進行信息收集→生成偽 UI→用戶操作→洩漏」的多層結構使得檢測變得困難。
攻擊方法的名稱尚未官方定義,因此以下將由 Adam Logue 指出的方法稱為「通過 Mermaid 圖進行任意數據洩漏」(Arbitrary Data Exfiltration Via Mermaid Diagrams)簡稱為「Mermaid 型」。
詳細
被攻擊的用戶
- 啟用 Copilot 的所有用戶: 特別是能夠訪問電子郵件和 SharePoint/OneDrive 的用戶更容易成為目標。
- 擁有廣泛連接權限的服務帳號/管理員: 能大量搜索和獲取內部數據的帳號,潛在損失較大。
- 經常處理外部郵件或鏈接的部門(如業務、客戶支持等): 容易對來自接收內容的引導做出反應,因此風險較高。
- 權限管理松散的外部委託用戶/合作夥伴: 透過共享文件夾或協作環境容易建立攻擊路徑。
- 安全教育不足的最終用戶: 可能會對偽 UI 的點擊或總結請求做出反應。
攻擊手法
EchoLeak
當攻擊者植入的惡意內容到達租戶時,Copilot 將自動解析接收內容並進行提示注入。Copilot 通過連接器搜索並獲取內部郵件或文件,並將其內容發送到攻擊者指定的外部位置,洩漏機密。這種不需要用戶操作的「零點擊」案例是其特徵。
Mermaid 型
攻擊者發送嵌入命令和偽 UI 的惡意文檔(如使用 mermaid 等技術)。用戶要求 Copilot 總結或解釋時,提示注入將激活,Copilot 會獲取內部數據並自動生成偽造的登錄按鈕。當用戶點擊該按鈕後,機密數據將通過正規服務或中繼路徑帶出外部。
詳細介紹該手法的網站簡潔地表述為下:
對策
AI 助理的便利性雖高,但若設置或權限鬆散,內部信息有可能會從意想不到的路徑被帶出。應優先實施以下對策。
優先對策(應立即執行的順序)
- 應用補丁和官方修正(包括 EchoLeak 對應)
- 禁用或限量運行 Copilot 的自動解析(如郵件自動總結)
- 最小化連接器權限(隔離機密資料庫)
- 加強外向過濾器:將外部上傳位置列入白名單/通過代理方式檢查
- 禁用 HTML 郵件的按鈕/表單或顯示警告(客戶端)
- 建立審計日誌/SIEM 規則:對上述 IOC 進行警報(例如:當 Copilot 在短時間內獲取大量文件時即刻發出警報)
- 用戶教育:讓用戶了解總結、點擊的風險以及 mermaid 等代碼塊中命令的危害
結語
在 Adam Logue 的驗證中,詳細說明了 Copilot 如何將搜索的郵件以 hex 編碼方式嵌入 mermaid 的鏈接,並在點擊後發送到攻擊者的伺服器。Microsoft 已經對 mermaid 動態交互的功能進行了禁用以進行緩解,但管理者必須確認補丁適用狀況及動態內容的呈現設置。
一句話
AI 雖便利,但也當然存在引發意外操作的風險。
希望能夠在充分了解的基礎上妥善共存。
如果您喜歡這篇文章,請考慮關注 @nix。
1) --- 會變成分隔線(上一行必須是空白)
2) # 會變成一級標題
3) ## 會變成二級標題
4) ### 會變成三級標題
5) **粗體文字**會顯示粗體文字
6) ```當第一行與最後一行會顯示程式碼
7) 請搜尋 Markdown 語法,了解各種格式
