Microsoft Copilot Cowork peut être trompé pour exfiltrer des fichiers sensibles, selon un rapport
Microsoft Copilot Cowork face au risque d'exfiltration de fichiers
Un nouveau rapport affirme que Microsoft Copilot Cowork peut être manipulé pour divulguer des fichiers sensibles de Microsoft 365 via une injection d'invite indirecte, exposant les entreprises à un risque de sécurité important.
La découverte porte sur des validations d'actions automatiques non sécurisées pour l'envoi d'e-mails et de messages Teams. Selon le rapport, Copilot Cowork peut être orienté par un fichier de compétence compromis contenant des instructions d'injection d'invite, permettant à un attaquant d'exfiltrer des données depuis le tenant Microsoft d'une victime en utilisant les propres autorisations de l'agent et l'accès à Microsoft Graph.
Copilot Cowork est une fonctionnalité Frontier de Microsoft 365 qui fonctionne avec les autorisations Microsoft d'un utilisateur et peut lire et agir sur les données à travers le tenant. Les chercheurs indiquent que l'attaque a fonctionné avec un taux de succès élevé même contre des modèles de pointe, y compris Claude Opus 4.7.
Comment l'attaque fonctionne
La documentation de Microsoft indique que Copilot Cowork demande la permission avant d'effectuer des actions sensibles telles que l'envoi d'e-mails ou la publication dans Teams. Mais le rapport précise qu'en pratique, les messages envoyés à l'utilisateur actif s'exécutent immédiatement sans approbation humaine. Les utilisateurs ne peuvent pas non plus modifier ce comportement.
Cela crée une voie d'exfiltration : un message compromis peut inclure des images externes ou d'autres contenus qui déclenchent des requêtes réseau lorsqu'ils sont ouverts dans Outlook ou Teams, permettant à des requêtes contrôlées par l'attaquant de se lancer. Le rapport indique que Copilot Cowork peut également récupérer des liens de téléchargement pré-authentifiés pour des fichiers auxquels l'utilisateur a accès, et ces liens peuvent être utilisés pour télécharger le fichier par toute personne qui les reçoit.
Le scénario de victime décrit dans le rapport implique un utilisateur ayant accès à des fichiers SharePoint ou OneDrive contenant des données personnelles identifiables (PII) et des données financières, puis téléchargeant un fichier de compétence dans Copilot Cowork qui contient l'injection d'invite.
Exposition plus large en entreprise
Protégez votre vie privée avec Doppler VPN
3 jours d'essai gratuit. Sans inscription. Sans journaux.
Les chercheurs affirment que le problème ne se limite pas à une seule source d'injection. Des attaques similaires pourraient provenir de données web dans des outils comme Claude for Chrome ou de serveurs MCP connectés. Ils soutiennent que le risque reflète un problème plus vaste : donner aux agents un accès à plusieurs systèmes élargit la surface d'attaque par injection d'invite, même quand chaque capacité individuelle semble bénigne isolément.
Distinctement du chemin d'exfiltration via les messages, les chercheurs indiquent aussi avoir divulgué à Microsoft une vulnérabilité qui permet directement une sortie de données depuis l'environnement bac à sable de Copilot Cowork.
Sources :
Parcourez en privé avec Doppler VPN — pas de logs, connexion en un clic.