EchoLeak: промпт-инъекция нулевого клика против M365 Copilot для эксфильтрации данных
Оригинал: EchoLeak: Zero-Click Prompt Injection Targeting M365 Copilot for Data Exfiltration
Исследователи Aim Security обнаружили EchoLeak — уязвимость нулевого клика (zero-click) в Microsoft 365 Copilot, которая могла позволить злоумышленнику эксфильтровать конфиденциальные корпоративные данные без взаимодействия с пользователем.
В атаке использовалась промпт-инъекция, доставленная целевому пользователю по электронной почте. Когда M365 Copilot извлекал это письмо как часть контекста генерации с дополненным извлечением (RAG), вредоносные инструкции заставляли Copilot искать данные Microsoft 365, доступные пользователю, и включать конфиденциальную информацию в контекст ответа. Затем конфиденциальная информация эксфильтровалась через запросы к URL, контролируемым злоумышленником, без необходимости для жертвы открывать письмо или переходить по ссылке.
Цепочка атаки обходила несколько средств защиты, включая защиту от промпт-инъекций, сокрытие ссылок и ограничения политики безопасности содержимого (CSP).
Microsoft присвоила проблеме идентификатор CVE-2025-32711[[cve-2025-32711]]. С тех пор уязвимость была устранена; свидетельств ее эксплуатации в реальных атаках нет.
Процедура
- AML.TA0003 Подготовка ресурсов
AML.T0065 Создание промптов для LLM
Исследователи подготовили вредоносные инструкции, рассчитанные на обход классификатора Microsoft для косвенных промпт-инъекций, маскировку под обычный деловой контент, скрытие связи с письмом, контролируемым злоумышленником, и принуждение Copilot включить конфиденциальные данные в отображаемый вывод. - AML.TA0003 Подготовка ресурсов
AML.T0066 Подготовка содержимого для извлечения
Исследователи встроили промпт-инъекцию в деловое содержимое письма, которое с высокой вероятностью могло быть извлечено при последующем взаимодействии с Copilot. Контент был составлен так, чтобы выглядеть релевантным обычным корпоративным рабочим процессам и одновременно содержать скрытые инструкции. - AML.TA0003 Подготовка ресурсов
AML.T0079 Размещение средств атаки
Исследователи подготовили веб-эндпоинт, контролируемый злоумышленником, для приема исходящих запросов с закодированными конфиденциальными данными. Эндпоинт служил точкой сбора для канала эксфильтрации. - AML.TA0004 Первичный доступ
AML.T0093 Внедрение промпта через публичное приложение
Исследователи отправили письмо в почтовый ящик пользователя Microsoft 365. - AML.TA0007 Уклонение от защиты
AML.T0068 Обфускация промпта LLM
Промпт был сформулирован как безобидный деловой текст, а не как очевидно вредоносная инструкция, чтобы не вызвать подозрений у пользователя. - AML.TA0006 Закрепление
AML.T0070 Отравление RAG
Письмо было автоматически загружено в базу данных RAG, доступную пайплайну извлечения Copilot. - AML.TA0005 Выполнение
AML.T0051.002 Триггерная промпт-инъекция
Когда позднее пользователь вызвал Copilot, тот извлек вредоносное письмо в свой контекст, что привело к срабатыванию промпт-инъекции. - AML.TA0009 Сбор материалов
AML.T0085.000 Базы данных RAG
Вредоносные инструкции заставили Copilot обратиться к конфиденциальной корпоративной информации, доступной через учетную запись пользователя Microsoft 365, например к письмам, файлам или сведениям о проектах. - AML.TA0007 Уклонение от защиты
AML.T0067 Манипуляция доверенными компонентами ответа LLM
Вывод был изменен так, чтобы избежать очевидной атрибуции и использовать ссылки или изображения Markdown в справочном стиле, обходившие сокрытие ссылок. - AML.TA0010 Эксфильтрация
AML.T0077 Рендеринг ответа LLM
Copilot отобразил изображение Markdown, URL которого кодировал конфиденциальную информацию. Клиент автоматически попытался загрузить изображение, создав путь эксфильтрации без клика. - AML.TA0010 Эксфильтрация
AML.T0025 Эксфильтрация киберсредствами
Чтобы обойти ограничения CSP, исследователи направили запрос к отображенному изображению через разрешенный путь предпросмотра или прокси Microsoft Teams, который загружал контролируемый злоумышленником URL с закодированным секретом. - AML.TA0011 Воздействие
AML.T0048 Внешний ущерб
При эксплуатации против реального корпоративного пользователя атака могла раскрыть конфиденциальные бизнес-данные и нанести ущерб организации или затронутым пользователям.