EchoLeak: промпт-инъекция нулевого клика против M365 Copilot для эксфильтрации данных

Оригинал: EchoLeak: Zero-Click Prompt Injection Targeting M365 Copilot for Data Exfiltration

Исследователи Aim Security обнаружили EchoLeak — уязвимость нулевого клика (zero-click) в Microsoft 365 Copilot, которая могла позволить злоумышленнику эксфильтровать конфиденциальные корпоративные данные без взаимодействия с пользователем.

В атаке использовалась промпт-инъекция, доставленная целевому пользователю по электронной почте. Когда M365 Copilot извлекал это письмо как часть контекста генерации с дополненным извлечением (RAG), вредоносные инструкции заставляли Copilot искать данные Microsoft 365, доступные пользователю, и включать конфиденциальную информацию в контекст ответа. Затем конфиденциальная информация эксфильтровалась через запросы к URL, контролируемым злоумышленником, без необходимости для жертвы открывать письмо или переходить по ссылке.

Цепочка атаки обходила несколько средств защиты, включая защиту от промпт-инъекций, сокрытие ссылок и ограничения политики безопасности содержимого (CSP).

Microsoft присвоила проблеме идентификатор CVE-2025-32711[[cve-2025-32711]]. С тех пор уязвимость была устранена; свидетельств ее эксплуатации в реальных атаках нет.

Процедура

  1. AML.TA0003 Подготовка ресурсов

    AML.T0065 Создание промптов для LLM

    Исследователи подготовили вредоносные инструкции, рассчитанные на обход классификатора Microsoft для косвенных промпт-инъекций, маскировку под обычный деловой контент, скрытие связи с письмом, контролируемым злоумышленником, и принуждение Copilot включить конфиденциальные данные в отображаемый вывод.
  2. AML.TA0003 Подготовка ресурсов

    AML.T0066 Подготовка содержимого для извлечения

    Исследователи встроили промпт-инъекцию в деловое содержимое письма, которое с высокой вероятностью могло быть извлечено при последующем взаимодействии с Copilot. Контент был составлен так, чтобы выглядеть релевантным обычным корпоративным рабочим процессам и одновременно содержать скрытые инструкции.
  3. AML.TA0003 Подготовка ресурсов

    AML.T0079 Размещение средств атаки

    Исследователи подготовили веб-эндпоинт, контролируемый злоумышленником, для приема исходящих запросов с закодированными конфиденциальными данными. Эндпоинт служил точкой сбора для канала эксфильтрации.
  4. AML.TA0004 Первичный доступ

    AML.T0093 Внедрение промпта через публичное приложение

    Исследователи отправили письмо в почтовый ящик пользователя Microsoft 365.
  5. AML.TA0007 Уклонение от защиты

    AML.T0068 Обфускация промпта LLM

    Промпт был сформулирован как безобидный деловой текст, а не как очевидно вредоносная инструкция, чтобы не вызвать подозрений у пользователя.
  6. AML.TA0006 Закрепление

    AML.T0070 Отравление RAG

    Письмо было автоматически загружено в базу данных RAG, доступную пайплайну извлечения Copilot.
  7. AML.TA0005 Выполнение

    AML.T0051.002 Триггерная промпт-инъекция

    Когда позднее пользователь вызвал Copilot, тот извлек вредоносное письмо в свой контекст, что привело к срабатыванию промпт-инъекции.
  8. AML.TA0009 Сбор материалов

    AML.T0085.000 Базы данных RAG

    Вредоносные инструкции заставили Copilot обратиться к конфиденциальной корпоративной информации, доступной через учетную запись пользователя Microsoft 365, например к письмам, файлам или сведениям о проектах.
  9. AML.TA0007 Уклонение от защиты

    AML.T0067 Манипуляция доверенными компонентами ответа LLM

    Вывод был изменен так, чтобы избежать очевидной атрибуции и использовать ссылки или изображения Markdown в справочном стиле, обходившие сокрытие ссылок.
  10. AML.TA0010 Эксфильтрация

    AML.T0077 Рендеринг ответа LLM

    Copilot отобразил изображение Markdown, URL которого кодировал конфиденциальную информацию. Клиент автоматически попытался загрузить изображение, создав путь эксфильтрации без клика.
  11. AML.TA0010 Эксфильтрация

    AML.T0025 Эксфильтрация киберсредствами

    Чтобы обойти ограничения CSP, исследователи направили запрос к отображенному изображению через разрешенный путь предпросмотра или прокси Microsoft Teams, который загружал контролируемый злоумышленником URL с закодированным секретом.
  12. AML.TA0011 Воздействие

    AML.T0048 Внешний ущерб

    При эксплуатации против реального корпоративного пользователя атака могла раскрыть конфиденциальные бизнес-данные и нанести ущерб организации или затронутым пользователям.

Источники

  1. EchoLeak: The First Real-World Zero-Click Prompt Injection Exploit in a Production LLM System
  2. CVE-2025-32711
  3. Breaking down 'EchoLeak', the First Zero-Click AI Vulnerability Enabling Data Exfiltration from Microsoft 365 Copilot