جزئیاتی در مورد یک آسیبپذیری وصله شده در Microsoft 365 Copilot منتشر شده است که میتواند سرقت اطلاعات حساس کاربر را با استفاده از تکنیکی به نام ASCII Smuggling فعال کند.
ASCII Smuggling تکنیک جدیدی است که از کاراکترهای یونیکد ویژه استفاده میکند که منعکسکننده ASCII هستند اما در واقع در رابط کاربری قابل مشاهده نیستند. این بدان معنی است که نفوذگر میتواند [مدل زبان بزرگ] دادههای نامرئی را به کاربر ارائه دهد و آنها را در لینکهای قابل کلیک جاسازی کند. این تکنیک اساساً دادهها را برای استخراج طبقهبندی می کند!
کل حمله با ترکیب تعدادی روش حمله، آنها را به یک زنجیره بهرهبرداری قابل اعتماد تبدیل میکند که شامل مراحل زیر است:
- راهاندازی تزریق سریع ( Prompt Injection) از طریق محتوای مخرب پنهان شده در سند به اشتراک گذاشته شده در چت برای به دست گرفتن کنترل چتبات
- استفاده از یک payload تزریق سریع برای دستور دادن به Copilot جهت جستجوی ایمیلها و اسناد بیشتر، تکنیکی به نام فراخوانی خودکار ابزار
- استفاده از ASCII Smuggling برای ترغیب کاربر به کلیک روی پیوندی برای استخراج دادههای ارزشمند به سرور شخص ثالث
https://thehackernews.com/2024/08/microsoft-fixes-ascii-smuggling-flaw.html
