ثغرة خطيرة في Copilot تتيح للمهاجمين سرقة بيانات حساسة

اكتشف باحثون أمنيون ثغرة خطيرة في مساعد مايكروسوفت Copilot تسمح للمهاجمين بسرقة بيانات حساسة، بما في ذلك رموز المصادقة الثنائية (2FA)، عن طريق خداع المساعد لتنفيذ أوامر خبيثة.

تعتمد آلية الهجوم، التي أطلق عليها اسم "SearchLeak"، على إرسال رابط خبيث للمستخدم المستهدف. عند النقر على هذا الرابط، يقوم Copilot بتنفيذ أمر البحث المضمن في الرابط، والذي يمكن أن يطلب منه البحث في رسائل البريد الإلكتروني للمستخدم أو مستندات SharePoint أو ملفات OneDrive. ثم يقوم المهاجم بتوجيه Copilot لاستخلاص المعلومات المطلوبة وتضمينها في عنوان URL لصورة، مما يسمح بسحب البيانات دون علم المستخدم.

تكمن خطورة الثغرة في أن Copilot يعالج الاستجابة الأولية باستخدام HTML خام قبل تطبيق إجراءات الحماية. هذا يسمح للمهاجمين باستغلال هذه المرحلة لتضمين أوامر خبيثة. ولتجاوز القيود المفروضة على إرسال الطلبات إلى نطاقات خارجية، يستخدم الهجوم محرك بحث Bing كوسيط، حيث يسمح سياسات الأمان بإرسال طلبات الصور إلى Bing، والذي بدوره يرسلها إلى النطاق الذي يتحكم فيه المهاجم.

تستهدف هذه الثغرة بشكل خاص النسخة المؤسسية من Microsoft 365، مما يعني أن نطاق التأثير لا يقتصر على البيانات الشخصية، بل يمكن أن يشمل أي معلومات يصل إليها المستخدم داخل المؤسسة، مثل رسائل البريد الإلكتروني، ودعوات الاجتماعات، والملاحظات، ومستندات SharePoint، وملفات OneDrive، وغيرها من المحتوى التجاري المفهرس.

أقرت مايكروسوفت بالثغرة وقامت بإصلاحها يوم الثلاثاء. ومع ذلك، يشير الباحثون إلى أن طبيعة هذه الهجمات تعتمد على إيجاد طرق جديدة لتجاوز الإجراءات الأمنية، وأن العملية قد تتكرر مع اكتشاف ثغرات جديدة.