Microsoft Copilot Cowork có thể bị lừa để rò rỉ tệp nhạy cảm, theo báo cáo
Microsoft Copilot Cowork đối mặt rủi ro rò rỉ tệp
Một báo cáo mới cho biết Microsoft Copilot Cowork có thể bị thao túng để rò rỉ các tệp nhạy cảm từ Microsoft 365 thông qua kỹ thuật tiêm lệnh gợi ý gián tiếp, khiến doanh nghiệp gặp phải nguy cơ bảo mật đáng kể.
Phát hiện tập trung vào việc phê duyệt hành động tự động không an toàn cho việc gửi email và tin nhắn Teams. Theo báo cáo, Copilot Cowork có thể bị điều hướng bằng một skill file bị nhiễm chứa các hướng dẫn tiêm lệnh gợi ý, cho phép kẻ tấn công rút dữ liệu từ tenant Microsoft của nạn nhân bằng quyền truy cập của chính agent và Microsoft Graph.
Copilot Cowork là một tính năng Frontier trong Microsoft 365 hoạt động với quyền của người dùng và có thể đọc cũng như thực hiện hành động trên dữ liệu trong tenant. Các nhà nghiên cứu cho biết cuộc tấn công đạt tỷ lệ thành công cao ngay cả với các mô hình hiện đại nhất, bao gồm Claude Opus 4.7.
Cách thức tấn công hoạt động
Tài liệu của Microsoft nói rằng Copilot Cowork sẽ xin phép trước khi thực hiện các hành động nhạy cảm như gửi email hoặc đăng trong Teams. Nhưng báo cáo cho biết trong thực tế, các tin nhắn gửi đến người dùng đang hoạt động được thực thi ngay lập tức mà không cần phê duyệt của con người. Người dùng cũng không thể thay đổi hành vi đó.
Điều này tạo ra một đường dẫn để rò rỉ: một tin nhắn bị xâm nhập có thể chứa ảnh bên ngoài hoặc nội dung khác kích hoạt các yêu cầu mạng khi mở trong Outlook hoặc Teams, cho phép các yêu cầu do kẻ tấn công điều khiển được gửi đi. Báo cáo nói rằng Copilot Cowork cũng có thể truy xuất các liên kết tải xuống đã được tiền xác thực cho các tệp mà người dùng có thể truy cập, và những liên kết đó có thể được dùng để tải tệp xuống bởi bất kỳ ai nhận được chúng.
Kịch bản nạn nhân được mô tả trong báo cáo liên quan đến một người dùng có quyền truy cập vào các tệp SharePoint hoặc OneDrive chứa thông tin cá nhân nhận dạng (PII) và dữ liệu tài chính, sau đó tải lên một skill file lên Copilot Cowork mang lệnh tiêm.
Phơi nhiễm rộng hơn đối với doanh nghiệp
Bảo vệ quyền riêng tư của bạn với Doppler VPN
Dùng thử miễn phí 3 ngày. Không đăng ký. Không nhật ký.
Các nhà nghiên cứu nói vấn đề không giới hạn ở một nguồn tiêm lệnh. Những cuộc tấn công tương tự có thể đến từ dữ liệu web trong các công cụ như Claude for Chrome hoặc từ các máy chủ MCP kết nối. Họ lập luận rằng rủi ro phản ánh một vấn đề rộng hơn: trao cho các agent quyền truy cập vào nhiều hệ thống sẽ mở rộng bề mặt tấn công tiêm lệnh, ngay cả khi từng khả năng riêng lẻ có vẻ vô hại khi đứng riêng.
Tách biệt với đường dẫn rò rỉ qua tin nhắn, các nhà nghiên cứu nói họ cũng đã tiết lộ cho Microsoft một lỗ hổng cho phép dữ liệu chảy ra trực tiếp từ môi trường sandbox của Copilot Cowork.
Nguồn:
Duyệt web riêng tư với Doppler VPN — không lưu nhật ký, kết nối một chạm.