Поиск и меню на экране планшета с логотипом Microsoft Copilot
Автор:

Microsoft устранила критическую уязвимость в Microsoft 365 Copilot, которая позволяла вытягивать закрытые корпоративные данные через цепочку из нескольких компонентов. Схему атаки под названием SearchLeak описали исследователи Varonis. Для эксплуатации жертве было достаточно перейти по специально сформированной ссылке, после чего Copilot сам искал внутренние документы и передавал их наружу.

Уязвимость получила идентификатор CVE-2026-42824 и критический уровень опасности. По данным Varonis, SearchLeak объединяла сразу три слабых места. По отдельности их было недостаточно для кражи данных, но в связке они позволяли обойти защиту и превратить корпоративного ИИ-помощника в инструмент эксфильтрации.

Атака была нацелена не на потребительский Copilot, а на корпоративный режим Enterprise Search. Он индексирует рабочие данные компании в почте, материалах встреч, SharePoint и OneDrive. Злоумышленник отправлял сотруднику ссылку с вредоносной инструкцией в параметре запроса. После клика Copilot получал команду найти закрытую информацию и встроить ее в адрес подставного изображения.

Дальше срабатывала особенность вывода HTML в браузере. В ответе Copilot данные сначала отображались внутри тега code, но на одном из этапов браузер успевал интерпретировать фрагмент как рабочий HTML. Чтобы запрос не блокировался политиками безопасности, цепочка шла через поиск по изображениям Bing. Фактически поисковик выступал промежуточным узлом, а похищенные параметры фиксировались уже на сервере атакующего.

Для пользователя атака выглядела безобидно. Copilot просто немного дольше обычного «думал», а видимых признаков утечки не возникало. Microsoft сообщила, что закрыла необходимые для SearchLeak уязвимости, поэтому дополнительных действий от клиентов не требуется.

История показательная для всего сегмента корпоративных ИИ-ассистентов. Microsoft продает Microsoft 365 Copilot по цене от $30 за пользователя в месяц, а аналогичные модели доступа к почте, документам и чатам строят Google с Gemini for Workspace и Salesforce со Slack AI. OWASP относит косвенные prompt injection-атаки к базовым рискам LLM-приложений, и чем глубже такие сервисы подключены к внутренним хранилищам, тем дороже становится одна ошибка в рендеринге ответа или фильтрации запросов.

А вот ещё материалы по теме:
Елизавета Добровольская
Автор itzine.ru с 2021 года. Пишет о смартфонах, гаджетах, железе, искусственном интеллекте и космосе — в общем, обо всём, что есть в мире технологий. От новостей о складных флагманах и процессорах до репортажей о культуре и рынке электромобилей. Следит за индустрией внимательно, но без фанатизма.

Leave a reply