-
09/04/2020
-
136
-
1.875 bài viết
Lỗ hổng nghiêm trọng trên Microsoft 365 Copilot đe dọa rò rỉ dữ liệu doanh nghiệp
Ngày 7/5/2026, Microsoft xác nhận đã vá và công bố ba lỗ hổng bảo mật mức độ nghiêm trọng cao ảnh hưởng đến Microsoft 365 Copilot và Copilot Chat trong Microsoft Edge. Các lỗ hổng này thuộc nhóm Information Disclosure, liên quan trực tiếp đến nguy cơ rò rỉ dữ liệu trong môi trường AI doanh nghiệp. Đáng chú ý, các lỗ hổng này được xử lý trực tiếp từ phía dịch vụ đám mây, nên người dùng cuối và quản trị viên hệ thống không cần thực hiện bất kỳ thao tác thủ công nào.
Theo Microsoft Security Response Center, đây là một phần trong chiến lược minh bạch hóa các CVE liên quan đến dịch vụ đám mây, nằm trong chương trình “Toward Greater Transparency: Unveiling Cloud Service CVEs”. Cả ba lỗ hổng đều được đánh giá nghiêm trọng với khả năng ảnh hưởng trực tiếp đến an toàn dữ liệu của các tổ chức.
Các lỗ hổng được định danh mã CVE-2026-26129, CVE-2026-26164 và CVE-2026-33111. Trong đó:
- CVE-2026-26129: ảnh hưởng đến Microsoft 365 Copilot Business Chat, xuất phát từ việc xử lý không đúng các ký tự đặc biệt trong dữ liệu đầu ra được chuyển sang thành phần downstream. Lỗ hổng này có thể bị khai thác để làm lộ thông tin nhạy cảm qua mạng trong một số điều kiện nhất định.
- CVE-2026-26164: cũng nhắm vào M365 Copilot nhưng được phân loại cụ thể theo nhóm lỗi CWE-74 (Injection). Lỗ hổng cho phép kẻ tấn công từ xa khai thác qua mạng mà không cần quyền truy cập hay tương tác từ người dùng. Microsoft đánh giá khả năng khai thác thực tế ở mức "Ít khả thi" do chưa có mã khai thác chứng minh tại thời điểm công bố.
- CVE-2026-33111: xuất hiện trong Copilot Chat tích hợp trên Microsoft Edge, thuộc CWE-77 (Command Injection).Lỗ hổng có cùng đặc điểm với CVE-2026-26164 khi không cần đặc quyền, không cần tương tác người dùng, nhưng có thể dẫn đến rò rỉ dữ liệu mức cao. Việc Edge được triển khai rộng rãi trong môi trường doanh nghiệp khiến lỗ hổng này trở thành một mối đe dọa tiềm tàng đối với các ranh giới tin cậy của hệ thống.
Điểm đáng chú ý của loạt lỗ hổng này nằm ở bản chất của Microsoft 365 Copilot, một hệ thống AI có khả năng truy cập và tổng hợp dữ liệu doanh nghiệp từ email, tài liệu nội bộ, hội thoại Teams và nhiều nguồn khác. Khi cơ chế xử lý đầu ra hoặc lệnh bị sai lệch. Điều này có thể dẫn đến nguy cơ lộ các thông tin như tài liệu nội bộ, dữ liệu tài chính hoặc trao đổi chiến lược nếu bị khai thác trong điều kiện phù hợp. Đây là một trong những rủi ro đặc thù khi AI được tích hợp sâu vào hạ tầng làm việc.
Dù Microsoft đã triển khai các biện pháp giảm thiểu ở lớp dịch vụ và đảm bảo an toàn cho hạ tầng đám mây, các chuyên gia an ninh mạng vẫn khuyến cáo các tổ chức cần chủ động rà soát lại quyền hạn của AI. Việc áp dụng chặt chẽ nguyên tắc đặc quyền tối thiểu và kiểm soát chặt chẽ các nguồn dữ liệu mà Copilot được phép tiếp cận là giải pháp then chốt để giảm thiểu rủi ro từ các lỗ hổng tương tự có thể phát sinh trong tương lai.
Theo báo cáo chính thức, các lỗ hổng này được phát hiện bởi nhà nghiên cứu Estevam Arantes từ Microsoft và chuyên gia độc lập 0xSombra. Microsoft cũng xác nhận chưa có dấu hiệu cho thấy các lỗ hổng này bị khai thác trong môi trường thực tế trước khi công bố.
Dù Microsoft đã triển khai các biện pháp giảm thiểu ở lớp dịch vụ và đảm bảo an toàn cho hạ tầng đám mây, các chuyên gia an ninh mạng vẫn khuyến cáo các tổ chức cần chủ động rà soát lại quyền hạn của AI. Việc áp dụng chặt chẽ nguyên tắc đặc quyền tối thiểu và kiểm soát chặt chẽ các nguồn dữ liệu mà Copilot được phép tiếp cận là giải pháp then chốt để giảm thiểu rủi ro từ các lỗ hổng tương tự có thể phát sinh trong tương lai.
Theo báo cáo chính thức, các lỗ hổng này được phát hiện bởi nhà nghiên cứu Estevam Arantes từ Microsoft và chuyên gia độc lập 0xSombra. Microsoft cũng xác nhận chưa có dấu hiệu cho thấy các lỗ hổng này bị khai thác trong môi trường thực tế trước khi công bố.
Tổng hợp