Microsoft vá lỗ hổng Copilot nghiêm trọng làm lộ mã 2FA

Microsoft đã vá một lỗ hổng được chấm mức tối đa nghiêm trọng (max critical) trong nền tảng AI M365 Copilot vào hôm thứ Ba tuần trước. Vào thứ Hai, các nhà nghiên cứu của công ty an ninh Varonis – đơn vị phát hiện ra lỗ hổng – đã công bố cách khai thác bằng mã chứng minh (proof-of-concept) của họ có thể lấy được mã xác thực hai yếu tố và các dữ liệu nhạy cảm khác từ email mà Copilot có thể truy cập. Nguyên nhân gốc bắt nguồn từ việc các bot AI không thể phân biệt giữa hướng dẫn do người dùng cung cấp và các nội dung nhúng từ bên thứ ba mà mô hình xử lý, khiến Microsoft và các nhà cung cấp LLM khác không thể ngăn sản phẩm của họ tuân theo các yêu cầu truy xuất dữ liệu độc hại.

Các nhà nghiên cứu Varonis vượt rào Copilot Guardrails bằng ngôn ngữ markup

Microsoft đã tích hợp các hàng rào (guardrails) vào Copilot để ngăn LLM gửi biểu mẫu web, gửi email và thực hiện các hành động tương tự có thể làm rò rỉ dữ liệu người dùng. Nhóm nghiên cứu Varonis đã lách các giới hạn này bằng ngôn ngữ markup, cho phép thêm các thành phần định dạng như tiêu đề, danh sách và liên kết vào văn bản mà không cần thẻ HTML. Một cách lách khác là bọc dữ liệu nhạy cảm bên trong các thẻ HTML như và . Trong cả hai trường hợp, một yêu cầu web chứa dữ liệu sẽ “chạm” máy chủ web của kẻ tấn công, nơi thông tin bí mật được thu lại trong log.

Microsoft cũng triển khai thêm các hàng rào bảo vệ như bọc đầu ra của Copilot trong các khối để trình duyệt coi đó là văn bản thuần, đồng thời hạn chế các trang Copilot có thể truy cập mà không có phê duyệt rõ ràng. Mặc dù Copilot có quyền gửi yêu cầu hàng loạt đến các miền của Microsoft, các hàng rào lại hạn chế yêu cầu chỉ tới các trang không được tin cậy.

Khai thác Parameter-to-Prompt Injection qua tham số URL

Varonis đã xây dựng một chuỗi khai thác (exploit chain) vượt qua các hàng rào này bằng cơ chế mà nhóm nghiên cứu gọi là Parameter-to-Prompt Injection. Tham số trong trường hợp này là q trong một URL, đánh dấu một truy vấn đã được đưa vào. Parameter-to-Prompt Injection có họ hàng gần với prompt injection, với điểm khác biệt là lệnh độc hại nằm trong tham số truy vấn thay vì nằm trong một email hoặc một mẩu nội dung không được tin cậy khác.

FAQ

Microsoft đã vá lỗ hổng nào trong Copilot vào hôm thứ Ba tuần trước? Microsoft đã vá một lỗ hổng mức tối đa nghiêm trọng (max-critical) trong nền tảng AI M365 Copilot, cho phép tin tặc lấy được mã xác thực hai yếu tố và các dữ liệu nhạy cảm khác từ các email mà Copilot có thể truy cập. Các nhà nghiên cứu Varonis phát hiện ra lỗ hổng đã công bố cách khai thác proof-of-concept của họ vào hôm thứ Hai.

Các nhà nghiên cứu Varonis đã vượt rào bảo mật Copilot như thế nào? Các nhà nghiên cứu Varonis dùng ngôn ngữ markup để thêm các thành phần định dạng mà không cần thẻ HTML và bọc dữ liệu nhạy cảm bên trong các thẻ HTML như và . Họ cũng sử dụng kỹ thuật Parameter-to-Prompt Injection để đặt các lệnh độc hại vào tham số truy vấn của URL thay vì nằm trong nội dung email, qua đó các yêu cầu web chứa dữ liệu người dùng có thể “chạm” tới các máy chủ do kẻ tấn công kiểm soát, nơi thông tin được ghi lại trong log.