Faille Microsoft 365 Copilot
Microsoft a corrigé une faille qui permettait de voler des données à partir de Microsoft 365 Copilot !
ASCII smuggling, c’est le nom de la nouvelle technique utilisée pour voler des informations à partir du service Microsoft 365 Copilot. Voici ce que l’on sait sur cette vulnérabilité désormais patchée par Microsoft.
« L’ASCII smuggling est une nouvelle technique qui utilise des caractères Unicode spéciaux qui reflètent l’ASCII mais ne sont pas visibles dans l’interface utilisateur.« , précise le chercheur en sécurité Johann Rehberger dans son rapport. À l’origine de cette découverte, il a divulgué ce problème de sécurité à Microsoft en janvier dernier, ainsi qu’une chaîne d’exploitation complète en février 2024.
L’exploitation de cette vulnérabilité repose sur un processus en 3 étapes :
- Déclencher une « prompt injection » via un contenu malveillant dissimulé dans un document partagé avec le chatbot
- Utiliser un payload à destination de ce prompt pour demander à Copilot de rechercher d’autres courriels et documents
- Tirer parti de la technique ASCII smuggling pour inciter l’utilisateur à cliquer sur un lien afin d’exfiltrer des données sensibles vers un serveur tiers contrôlé par l’attaquant.
