Microsoft 365 Copilot: Lỗ hổng Prompt Injection gây rò rỉ email doanh nghiệp

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
116
1.196 bài viết
Microsoft 365 Copilot: Lỗ hổng Prompt Injection gây rò rỉ email doanh nghiệp
Một lỗ hổng tinh vi trong Microsoft 365 Copilot (M365 Copilot) vừa được phát hiện, cho phép kẻ tấn công đánh cắp dữ liệu nhạy cảm của tenant, bao gồm cả email gần đây, thông qua kỹ thuật tiêm nhiễm prompt gián tiếp. Theo bài viết của nhà nghiên cứu Adam Logue, lỗ hổng khai thác cách Copilot tích hợp với tài liệu Office và khả năng sinh sơ đồ Mermaid, cho phép rút trích dữ liệu mà không cần tương tác trực tiếp nhiều từ người dùng ngoài một cú nhấp chuột ban đầu.

Anh-whitehat-vn.png

Cuộc tấn công bắt đầu khi người dùng yêu cầu Copilot tóm tắt một file Excel được chế tác tinh vi. Các chỉ dẫn ẩn, được giấu bằng chữ màu trắng trên nhiều sheet, sử dụng lệnh lồng nhau và cơ chế sửa đổi tác vụ từng bước để chi phối hành vi của AI. Khi thực hiện tác vụ tóm tắt, Copilot có thể bị dẫn dắt gọi công cụ search_enterprise_emails, truy xuất email gần đây, mã hóa dữ liệu theo hex và chia thành các đoạn ngắn nhằm né giới hạn ký tự của Mermaid trước khi nhúng vào sơ đồ.

Sản phẩm cuối cùng do Copilot tạo ra là một sơ đồ Mermaid được ngụy trang thành một “nút đăng nhập” có biểu tượng khóa. Sơ đồ này sử dụng CSS để tạo giao diện giống nút thật và chứa một liên kết mang theo dữ liệu email đã mã hóa. Khi người dùng nhấp vào liên kết, nghĩ rằng mình đang mở nội dung “bị khóa” trong tài liệu, payload hex được truyền về máy chủ do kẻ tấn công kiểm soát, nơi nó có thể được giải mã từ nhật ký máy chủ. Tính linh hoạt của Mermaid, bao gồm khả năng nhúng hyperlink và CSS, khiến vector này khó bị phát hiện. Khác với prompt injection trực tiếp, lệnh tấn công được giấu trong các tệp bình thường như email hay PDF, khiến các chiến dịch phishing trở nên tinh vi và khó phát hiện.

Adam Logue nhận xét rằng kỹ thuật này có nét tương đồng với một lỗ hổng trước đó trong Cursor IDE, nơi dữ liệu có thể bị rút trích mà không cần nhấp chuột. Tuy nhiên với M365 Copilot, vẫn cần người dùng nhấp vào liên kết để payload được truyền đi. Payload được phát triển dựa trên nghiên cứu TaskTracker của Microsoft về “task drift” trong LLM và sau nhiều thử nghiệm, Microsoft đã xác nhận chuỗi tấn công và phát hành bản vá vào tháng 9 năm 2025, loại bỏ các liên kết tương tác trong sơ đồ Mermaid.

Sự cố này nhấn mạnh rủi ro khi tích hợp các công cụ AI trong môi trường doanh nghiệp, đặc biệt khi LLM kết nối với API và tài nguyên nội bộ. Bản vá của Microsoft đã vô hiệu hóa khả năng Copilot tạo hyperlink tương tác trong sơ đồ Mermaid, nhưng các quản trị viên vẫn cần rà soát chính sách xử lý tài liệu, hạn chế quyền truy cập tự động của công cụ vào dữ liệu nhạy cảm, giám sát hành vi bất thường của Copilot và cảnh báo người dùng về nguồn gốc tài liệu nhận được. Doanh nghiệp nên kiểm soát hiển thị nội dung động trong giao diện AI và bổ sung các lớp kiểm tra trước khi công cụ gọi API nội bộ, nhằm giảm thiểu rủi ro rò rỉ dữ liệu.

Theo Cyber Security News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
copilot m365 copilot prompt injection
Bên trên