Microsoft Copilot Cowork dapat diperalihkan untuk mengekfiltrasi berkas sensitif
Microsoft Copilot Cowork menghadapi risiko mengekfiltrasi berkas
Sebuah laporan baru mengatakan Microsoft Copilot Cowork dapat dimanipulasi sehingga membocorkan berkas sensitif dari Microsoft 365 melalui injeksi prompt tidak langsung, mengekspos perusahaan pada risiko keamanan yang signifikan.
Temuan berpusat pada persetujuan aksi otomatis yang tidak aman untuk mengirim email dan pesan Teams. Menurut laporan itu, Copilot Cowork dapat diarahkan oleh berkas skill yang terkontaminasi yang memuat instruksi injeksi prompt, memungkinkan penyerang mengekfiltrasi data dari tenant Microsoft korban dengan menggunakan izin agen itu sendiri dan akses Microsoft Graph.
Copilot Cowork adalah fitur Frontier di Microsoft 365 yang beroperasi menggunakan izin pengguna dan dapat membaca serta bertindak pada data di seluruh tenant. Para peneliti mengatakan serangan itu bekerja dengan tingkat keberhasilan tinggi bahkan terhadap model terkini, termasuk Claude Opus 4.7.
Cara serangan bekerja
Dokumentasi Microsoft mengatakan Copilot Cowork meminta izin sebelum melakukan aksi sensitif seperti mengirim email atau memposting di Teams. Tetapi laporan menyatakan bahwa pada praktiknya, pesan yang dikirim ke pengguna aktif dieksekusi segera tanpa persetujuan manusia. Pengguna juga tidak dapat mengubah perilaku itu.
Itu menciptakan jalur untuk eksfiltrasi: sebuah pesan yang dikompromikan dapat menyertakan gambar eksternal atau konten lain yang memicu permintaan jaringan saat dibuka di Outlook atau Teams, memungkinkan permintaan yang dikendalikan penyerang untuk diluncurkan. Laporan mengatakan Copilot Cowork juga dapat mengambil tautan unduhan pra-terautentikasi untuk berkas yang dapat diakses pengguna, dan tautan-tautan itu dapat digunakan untuk mengunduh berkas oleh siapa saja yang menerimanya.
Skenario korban yang dijelaskan dalam laporan melibatkan pengguna yang memiliki akses ke berkas SharePoint atau OneDrive yang berisi PII dan data keuangan, lalu mengunggah berkas skill ke Copilot Cowork yang membawa prompt yang disuntikkan.
Paparan perusahaan yang lebih luas
Lindungi privasi Anda dengan Doppler VPN
Uji coba gratis 3 hari. Tanpa registrasi. Tanpa log.
Para peneliti mengatakan masalah ini tidak terbatas pada satu sumber injeksi. Serangan serupa bisa datang dari data web di alat seperti Claude for Chrome atau dari server MCP yang terhubung. Mereka berargumen risiko ini mencerminkan masalah yang lebih luas: memberi agen akses ke banyak sistem memperluas permukaan serangan injeksi prompt, bahkan ketika setiap kemampuan individu tampak tidak berbahaya secara terpisah.
Terpisah dari jalur eksfiltrasi melalui pesan, para peneliti mengatakan mereka juga mengungkapkan kerentanan kepada Microsoft yang secara langsung memungkinkan keluarnya data dari lingkungan sandbox Copilot Cowork.
Sumber:
Jelajahi secara pribadi dengan Doppler VPN — tanpa log, sambung dengan satu ketuk.