Tietoturvatutkija on paljastanut Microsoft 365 Copilotissa merkittävän haavoittuvuuden, jonka ansiosta hyökkääjät saattoivat varastaa arkaluontoisia tietoja, kuten sähköposteja, napsautettavien kaavioiden avulla.
Yksityiskohtaisessa viestissä 21. lokakuuta tutkija Adam Logue selitti kuinka hänketjutti epäsuoran pikaruiskehyökkäyksen erityisesti laaditulla Merenneitokaaviolla.
Merenneitokaaviot ovat koodipohjaisia kaavioita, jotka edustavat rakenteita ja prosesseja ja jotka on luotu käyttämällä Markdownin inspiroimia tekstimääritelmiä, jotka on helppo kirjoittaa ja…
Tällä menetelmällä tekoäly huijattiin hakemaan yksityisiä käyttäjätietoja ja upottamaan ne kirjautumispainikkeeksi naamioituun hyperlinkkiin. Microsoft korjasi virheen syyskuun lopulla Loguen yksityisen paljastuksen jälkeen. Tapaus lisää useita viimeaikaisia Copilotin tietoturvaongelmia ja korostaayritysten tekoälyagenttien luomat uudet hyökkäyspinnatja niiden turvaamiseen liittyvät haasteet.
Nerokas ryöstö: nopean ruiskutuksen ketjuttaminen tietovaraskaavioilla
Loguen yksityiskohtainen hyökkäys oli hienostunut, monivaiheinen hyväksikäyttö, joka käänsi Copilotin omat ominaisuudet itseään vastaan. Se alkoi epäsuoralla pikainjektiolla, tekniikalla, jossa haitalliset ohjeet piilotetaan asiakirjan sisään, joka tekoälyä pyydetään käsittelemään.
Hän loi Excel-laskentataulukon piilotetulla tekstillä käyttämällä "sisättyjä ohjeita" ja "progressiivista tehtävämuutosta" kaapatakseen tekoälyn työnkulun. Nämä ohjeet käskivät Copilotin jättämään huomioimatta asiakirjan näkyvät taloustiedot ja noudattamaan sen sijaan uutta, haitallista komentosarjaa.
Pakottaen tekoälyn suorittamaan uuden tehtävän, Copilot käytti sisäisiä työkalujaan etsiäkseen käyttäjän viimeisimmät sähköpostit, koodatakseen sisällön heksadesimaalimerkkijonoon ja rakentaakseen sitten Merenneitokaavion. Mermaid on laillinen työkalu kaavioiden luomiseen tekstistä, mutta Logue havaitsi, että sen CSS-ominaisuuksia voidaan käyttää väärin tietojen suodattamiseen.
Suositeltu luettava:Suojausvirhe Microsoft Copilot Enterprisessa Anna hyökkääjien suorittaa koodin, nyt korjattu
Kuten Logue selitti, "M365 Copilot loi sitten yksinkertaisen merenneitokaavion, joka muistutti kirjautumispainiketta... Tämä merenneitokaavion "painike" sisälsi CSS-tyylisiä elementtejä ja hyperlinkin hyökkääjän palvelimelle." Hänen kaavionsa oli muotoiltu näyttämään vakuuttavalta "Kirjaudu"-painikkeelta, joka kehotti käyttäjää napsauttamaan sitä.
Kun käyttäjä napsauttaa painiketta, koodatut tiedot lähetettiin suoraan hyökkääjän ohjaamaan palvelimeen. Tämä menetelmä on erityisen salakavala, koska se hyödyntää tekoälyn valtuutettua pääsyä käyttäjätietoihin ja tekee luotetusta avustajasta tahattoman rikoskumppanin.
Vaikka tekniikka on samanlainen kuin aCursor IDE:stä löydetty haavoittuvuus, tämä hyväksikäyttö oli nollanapsautushyökkäys, kun taas Loguen menetelmä vaati vain vähän käyttäjän toimia onnistuakseen.
Microsoftin hiljainen korjaus ja kiistanalainen palkkiopäätös
Noudatettuaan vastuullisia paljastamiskäytäntöjä Logue ilmoitti koko haavoittuvuusketjusta Microsoft Security Response Centerille (MSRC) 15. elokuuta 2025.
Hänen prosessinsa ei ollut täysin sujuvaa; MSRC:llä oli aluksi vaikeuksia toistaa ongelma, ja se vaati Loguelta lisätodisteita ennen kuin suunnittelutiimi vahvisti käyttäytymisen 8. syyskuuta.
Korjaus kehitettiin ja otettiin käyttöön 26. syyskuuta mennessä, mikä neutraloi uhan tehokkaasti. Microsoftin lievennys oli yksinkertainen mutta tehokas. Tutkijan mukaan "vahvistin, että Microsoft oli poistanut mahdollisuuden olla vuorovaikutuksessa dynaamisen sisällön, kuten hyperlinkkien kanssa M365 Copilotissa hahmonnetuista Mermaid-kaavioista."
Poistamalla hyperlinkit käytöstä hahmonnetuissa kaavioissa yritys sulki suodatuskanavan poistamatta ominaisuutta kokonaan. Haavoittuvuuden vakavuudesta huolimatta MSRC:n palkkiotiimi päätti kuitenkin, että lähetys ei ollut oikeutettu palkkioon.
Sen virallinen syy oli, että Microsoft 365 Copilot pidettiin virhepalkkio-ohjelmansa ulkopuolella raportin tekohetkellä. Microsoft ei myöskään määrittänyt virheelle julkista CVE-tunnistetta, mikä rajoitti sen näkyvyyttä julkisissa haavoittuvuustietokannassa.
Tekoälyn tietoturvavirheiden huolestuttava malli
Mermaid-kaavion hyödyntäminen ei ole kaukana yksittäisestä tapauksesta, vaan se sopii laajempaan ja huolestuttavampaan Microsoftin AI-tuotteen tietoturvahaasteisiin.
Se tulee vain kuukausia toisen kriittisen tietojen suodatusvirheen jälkeen, ja se viittaa järjestelmälliseen ongelmaan sellaisten tekoälyagenttien turvaamisessa, jotka on integroitu syvästi arkaluontoiseen yritysdataan.
Kesäkuussa 2025 Microsoft korjasi Microsoft 365 Copilotin "EchoLeak"-haavoittuvuuden, virheen, jonka ansiosta hyökkääjät saattoivat myös varastaa yritystietoja yhden muotoillun sähköpostin kautta. Tuolloin Microsoftin neuvonta myönsi, että se oli eräänlainen "AI-komentoinjektio M365 Copilotissa sallii luvattoman hyökkääjän paljastaa tietoja verkon kautta".
Tuo aikaisempi tapaus esitteli uuden uhkakonseptin, joka on erittäin tärkeä Merenneidon hyväksikäytölle. Turvallisuusyritys Aim Security, joka löysi EchoLeakin, kutsui tätä uutta hyväksikäyttöluokkaa "LLM Scope Violation -rikkomukseksi" ja huomautti, että "tämä tekniikka manipuloi generatiivista tekoälyagenttia syöttämällä sille haitallisia ohjeita, jotka on piilotettu vaarattoman ulkoisen syötteen sisään, huijaten agentin pääsemään käsiksi ja vuotamaan etuoikeutettuja sisäisiä tietoja."
Tällaiset hyökkäykset manipuloivat tekoälyä käyttämään väärin valtuutettua pääsyään, mikä on riski, jota perinteisiä tietoturvatyökaluja ei ole suunniteltu havaitsemaan. Tällaiset tapaukset vahvistavat alan ankarat ennusteet kyberturvallisuuden tulevaisuudesta.
Tämä viimeisin virhe korostaa Gartnerin ennustetta, jonka mukaan "vuoteen 2028 mennessä 25 % yritysloukkauksista jäljitetään tekoälyagenttien väärinkäyttöön, sekä ulkoisista että haitallisista sisäisistä toimijoista."
Toistuvat haavoittuvuuksien löydöt SharePoint Copilotin ongelmista perustavanlaatuisiin nopeaan lisäysriskeihin luovat Microsoftille vaikean tarinan. Yritys ajaa aggressiivisesti "AI Agents -aikaansa" ja kilpailee samanaikaisesti rakentaakseen turvakaiteita, joita tarvitaan niiden hallitsemiseen.
Merenneitokaavion haavoittuvuus on toistaiseksi voimakas muistutus siitä, että kun tekoäly muuttuu tehokkaammaksi, hyökkäyspinnasta tulee abstraktimpi ja vaarallisempi, mikä vaatii yrityksen turvallisuuden perusteellista uudelleenarviointia.
