Microsoft corrige une faille critique de Copilot exposant des codes 2FA

Microsoft a corrigé la semaine dernière mardi une vulnérabilité classée au maximum comme critique dans sa plateforme d’IA M365 Copilot. Lundi, des chercheurs de la société de sécurité Varonis, qui ont découvert la vulnérabilité, ont révélé comment leur exploit de preuve de concept pouvait récupérer des codes d’authentification à deux facteurs et d’autres données sensibles provenant d’e-mails accessibles à Copilot. La cause racine vient de l’incapacité des robots d’IA à distinguer les instructions fournies par les utilisateurs de celles intégrées dans le contenu tiers que les modèles traitent, laissant Microsoft et d’autres fournisseurs de LLM incapables d’empêcher leurs produits de se conformer à des demandes malveillantes de récupération de données.

Des chercheurs de Varonis contournent les garde-fous de Copilot avec un langage de balisage

Microsoft a mis en place des garde-fous dans Copilot pour empêcher le LLM d’envoyer des formulaires web, d’expédier des e-mails et d’effectuer des actions similaires qui pourraient exfiltrer des données utilisateur. Les chercheurs de Varonis ont contourné ces restrictions à l’aide d’un langage de balisage, qui permet d’ajouter des éléments de mise en forme tels que des titres, des listes et des liens à du texte sans balises HTML. Un autre contournement consistait à encapsuler des données sensibles à l’intérieur de balises HTML telles que et . Dans les deux cas, une requête web contenant les données atteint le serveur web de l’attaquant, où l’information secrète est capturée dans des journaux.

Microsoft a mis en œuvre des garde-fous supplémentaires, notamment en encapsulant la sortie de Copilot dans des blocs afin que les navigateurs la traitent comme du texte brut, et en limitant les sites que Copilot peut visiter sans approbation explicite. Bien que Copilot ait une autorisation générale pour envoyer des requêtes aux domaines Microsoft, les garde-fous restreignent les requêtes vers des sites non fiables.

Exploits par injection de paramètres dans l’invite via les paramètres de requête d’URL

Varonis a mis au point une chaîne d’exploitation qui a contourné ces garde-fous en utilisant ce que les chercheurs appellent une Parameter-to-Prompt Injection. Le paramètre, dans ce cas, est le q dans une URL, qui indique qu’une requête a été incluse. La Parameter-to-Prompt Injection est une proche parente de la prompt injection, avec la différence que la commande malveillante se trouve dans le paramètre de requête plutôt que dans un e-mail ou dans un autre élément de contenu non fiable.

FAQ

Quelle vulnérabilité Microsoft a-t-il corrigée dans Copilot la semaine dernière mardi ? Microsoft a corrigé une vulnérabilité classée au maximum comme critique dans sa plateforme d’IA M365 Copilot qui permettait aux pirates de récupérer des codes d’authentification à deux facteurs et d’autres données sensibles provenant d’e-mails accessibles à Copilot. Les chercheurs de Varonis, qui ont découvert la vulnérabilité, ont révélé leur exploit de preuve de concept lundi.

Comment les chercheurs de Varonis ont-ils contourné les garde-fous de sécurité de Copilot ? Les chercheurs de Varonis ont utilisé un langage de balisage pour ajouter des éléments de mise en forme sans balises HTML et ont enveloppé des données sensibles à l’intérieur de balises HTML telles que et . Ils ont également employé une technique de Parameter-to-Prompt Injection qui plaçait des commandes malveillantes dans des paramètres de requête d’URL plutôt que dans le contenu d’e-mails, ce qui permettait à des requêtes web contenant des données utilisateur de toucher des serveurs contrôlés par l’attaquant où l’information était capturée dans des journaux.