محققان مایکروسافت ۳۶۵ کوپایلت را به ابزاری برای سرقت ایمیل و اسناد با یک کلیک تبدیل کردند
محققان امنیتی شرکت Varonis در ۱۵ ژوئن یک زنجیره آسیبپذیری بحرانی در Microsoft 365 Copilot Enterprise Search افشا کردند که به مهاجمان امکان میداد با استفاده از یک لینک مخرب، ایمیلها، رویدادهای تقویم، رمزهای عبور ذخیرهشده در ایمیل و اسناد SharePoint را بدزدند. مایکروسافت که این نقص را با شناسه CVE-2026-42824 در سطح بحرانی ارزیابی و در اوایل ژوئن ۲۰۲۶ وصله کرد، تأیید نمود که این تکنیک بهصورت خاموش کار میکند — قربانیان هیچ نشانهای از جمعآوری دادههای خود مشاهده نمیکردند.
Varonis این حمله را «SearchLeak» نامیده است. این حمله سه ضعف مجزا را در یک مسیر استخراج خودکار زنجیره میکند که هم پالایش محتوای مایکروسافت و هم محافظهای سیاست امنیت محتوا را دور میزند. به گزارش BleepingComputer، هیچ بهرهبرداری فعالی شناسایی نشده است، اما این تکنیک بهقدری ساده است که بهرهبرداری از آن پیش از وصله محتمل بوده است.
چگونگی عملکرد زنجیره حمله سه مرحلهای
حمله با یک URL آغاز میشود. مهاجم یک لینک برای قربانی ارسال میکند — جاسازیشده در یک ایمیل فیشینگ، پیام Slack یا چت Teams — که به جستجوی Copilot مایکروسافت ۳۶۵ با یک پارامتر Query ساختهشده اشاره دارد. آن Query به هوش مصنوعی Copilot دستور میدهد که ایمیلهای کاربر را جستجو کرده و محتوای مشخصی مانند کدهای دسترسی یا جزئیات جلسه را استخراج کند، سپس آن محتوا را در یک URL تصویر خروجی جاسازی نماید.
مرحله دوم از یک شرایط مسابقه (Race Condition) در نحوه رندر HTML توسط Copilot هنگام استریم بهره میبرد. قبل از اینکه لایه پالایش مایکروسافت بتواند تگهای خطرناک را حذف کند، یک عنصر <img> در خروجی خام فعال میشود — یک درخواست HTTP خروجی حامل دادههای دزدیده شده در پارامترهای URL انجام میدهد. این اتفاق در عرض میلیثانیه رخ میدهد، پیش از آنکه کاربر چیزی غیرعادی ببیند.
مرحله سوم سیاست امنیت محتوا (Content Security Policy) Copilot را دور میزند، که باید درخواستهای خروجی به سرورهای ناشناس را مسدود کند. Varonis دریافت که میتوانند مسیر استخراج را از طریق ویژگی «جستجو بر اساس تصویر» بینگ هدایت کنند — یک سرویس معتبر مایکروسافت که Copilot مجاز به تماس با آن است. دادههای دزدیدهشده در تمام طول مسیر از زیرساخت مایکروسافت عبور کرده و به سرور مهاجم میرسند.
دادههای در معرض خطر
از طریق یک لینک ساختهشده، این زنجیره میتوانست عملاً هر محتوایی را که تحت مجوز Copilot Enterprise کاربر در دسترس است استخراج کند: بدنه ایمیلها (شامل کدهای یکبار مصرف، لینکهای بازنشانی رمز عبور و اعتبارنامههای داخلی بهاشتراکگذاشتهشده از طریق ایمیل)، رویدادهای تقویم با شرکتکنندگان و محتوای جلسه، اسناد SharePoint و OneDrive، و هر چیز دیگری که در جستجوی سازمانی نمایه شده است. دامنه کار بر اساس آنچه هوش مصنوعی دستور جستجوی آن را دریافت کرده تعیین میشود — مهاجم میتوانست کلمات کلیدی خاص، ایمیلهای اخیر یا انواع فایلهای نامگذاریشده را هدف قرار دهد.
ماهیت خاموش حمله چیزی است که آن را بهویژه نگرانکننده میکند. برخلاف XSS مبتنی بر مرورگر، هیچ تغییر مسیر قابل مشاهده، تغییر صفحه یا خطایی وجود ندارد. قربانی که روی یک لینک در ایمیل فیشینگ کلیک میکند، بهسادگی یک نتیجه جستجوی عادی Copilot را میبیند — در حالی که دادههای او در پسزمینه در حال خروج از ساختمان است.
الگوی گستردهتر: هوش مصنوعی بهعنوان سطح حمله
SearchLeak از الگوی رو به رشدی پیروی میکند که در آن محققان دریافتند ابزارهای هوش مصنوعی سازمانی سطوح حمله جدیدی ایجاد میکنند که بهراحتی با دفاعهای موجود مطابقت ندارند. تزریق Prompt (Prompt Injection) — تکنیک مرحله اول این زنجیره — یک آسیبپذیری سنتی کد نیست. این تکنیک از این واقعیت بهره میبرد که دستیاران هوش مصنوعی دستورات به زبان طبیعی را میپذیرند و یک دستور کنترلشده توسط مهاجم (جاسازیشده در یک پارامتر URL) به همان شیوه یک درخواست قانونی کاربر تفسیر میشود.
مایکروسافت در ۱۸ ماه گذشته با افشاگریهای مشابهی در Copilot for Microsoft 365، Azure OpenAI Service و Bing Chat مواجه شده است. وجه مشترک: پالایش محتوا و سیاستهای امنیتی طراحیشده برای صفحات وب بهطور خودکار به خروجی تولیدشده توسط هوش مصنوعی گسترش نمییابند، که میتواند شامل HTML، لینکهای جاسازیشده و درخواستهای منابع خارجی تولیدشده توسط خود مدل باشد، نه نویسنده صفحه.
اقدامات کاهشی
مایکروسافت CVE-2026-42824 را در اوایل ژوئن ۲۰۲۶ بهصورت سمت سرور بهعنوان بخشی از یک بهروزرسانی گسترده سرویس Copilot وصله کرد، بهطوری که رفع مشکل قبل از افشای عمومی به همه مشتریان رسید. هیچ اقدام کاربر یا بهروزرسانی کلاینتی لازم نیست. سازمانهایی که از Microsoft 365 Copilot Enterprise استفاده میکنند باید تأیید کنند که روی نسخه سرویس پس از ژوئن هستند و تیمهای امنیتی باید بررسی کنند که آیا ریسک تزریق پارامتر مشابهی در ابزارهای هوش مصنوعی داخلی که پارامترهای Query مبتنی بر URL را میپذیرند وجود دارد یا خیر.
Originally reported by BleepingComputer. Read the original article for additional details.
View original source