Microsoft 365 Copilot: از تزریق سریع تا استخراج اطلاعات شخصی

security news

جزئیاتی در مورد یک آسیب‌پذیری وصله‌ شده در Microsoft 365 Copilot منتشر شده است که می‌تواند سرقت اطلاعات حساس کاربر را با استفاده از تکنیکی به نام ASCII Smuggling فعال کند.

ASCII Smuggling تکنیک جدیدی است که از کاراکترهای یونیکد ویژه استفاده می‌کند که منعکس‌کننده ASCII هستند اما در واقع در رابط کاربری قابل مشاهده نیستند. این بدان معنی است که نفوذگر می‌تواند [مدل زبان بزرگ] داده‌های نامرئی را به کاربر ارائه دهد و آنها را در لینک‌های قابل کلیک جاسازی کند. این تکنیک اساساً داده‌ها را برای استخراج طبقه‌بندی می کند!

کل حمله با ترکیب تعدادی روش حمله، آنها را به یک زنجیره بهره‌برداری قابل اعتماد تبدیل می‌کند که شامل مراحل زیر است:

  • راه‌اندازی تزریق سریع ( Prompt Injection) از طریق محتوای مخرب پنهان شده در سند به اشتراک گذاشته شده در چت برای به دست گرفتن کنترل چت‌بات
  • استفاده از یک payload تزریق سریع برای دستور دادن به Copilot جهت جستجوی ایمیل‌ها و اسناد بیشتر، تکنیکی به نام فراخوانی خودکار ابزار
  • استفاده از ASCII Smuggling برای ترغیب کاربر به کلیک روی پیوندی برای استخراج داده‌های ارزشمند به سرور شخص ثالث

 

https://thehackernews.com/2024/08/microsoft-fixes-ascii-smuggling-flaw.html