الأمن السيبراني ASCII, Copilot, Microsoft, البيانات, التي, بإصلاح, تقوم, تهريب, ثغرة, سرقة, مكنت, من eshrag أغسطس 27, 2024 0 تعليقات

تقوم Microsoft بإصلاح ثغرة تهريب ASCII التي مكّنت سرقة البيانات من Microsoft 365 Copilot

27 أغسطس 2024رافي لاكشمانانأمن الذكاء الاصطناعي / الضعف

ظهرت تفاصيل حول ثغرة أمنية تم تصحيحها الآن في Microsoft 365 Copilot والتي قد تمكن من سرقة معلومات المستخدم الحساسة باستخدام تقنية تسمى تهريب ASCII.

“إن تهريب ASCII هو أسلوب جديد يستخدم أحرف Unicode خاصة تعكس ASCII ولكنها في الواقع غير مرئية في واجهة المستخدم،” الباحث الأمني يوهان ريبيرجر قال.

“وهذا يعني أن المهاجم يمكن أن يكون لديه [large language model] تقديم بيانات غير مرئية للمستخدم وتضمينها في ارتباطات تشعبية قابلة للنقر. تقوم هذه التقنية بشكل أساسي بتجميع البيانات من أجل الترشيح!”

يجمع الهجوم بأكمله عددًا من أساليب الهجوم معًا لتكوين سلسلة استغلال موثوقة. يتضمن ذلك الخطوات التالية –

قم بتشغيل الحقن الفوري عبر المحتوى الضار المخفي في مستند تمت مشاركته في الدردشة
استخدام حمولة الحقن الفوري لتوجيه Copilot للبحث عن المزيد من رسائل البريد الإلكتروني والمستندات
الاستفادة من تهريب ASCII لإغراء المستخدم بالنقر فوق رابط لتصفية البيانات القيمة إلى خادم طرف ثالث

النتيجة النهائية للهجوم هي أن البيانات الحساسة الموجودة في رسائل البريد الإلكتروني، بما في ذلك رموز المصادقة متعددة العوامل (MFA)، يمكن نقلها إلى خادم يتحكم فيه الخصم. وقد عالجت Microsoft منذ ذلك الحين المشكلات التي أعقبت الكشف المسؤول في يناير 2024.

ويأتي هذا التطوير في ظل هجمات إثبات المفهوم (PoC). مُبَرهن ضد نظام Copilot من Microsoft للتلاعب بالاستجابات وسحب البيانات الخاصة وتفادي الحماية الأمنية، مما يسلط الضوء مرة أخرى على الحاجة إلى مراقبة المخاطر في أدوات الذكاء الاصطناعي (AI).

الطرق، مفصلة من قبل زينيتي، السماح للجهات الفاعلة الخبيثة بإجراء عمليات الاسترداد المعززة (خرقة) التسمم والحقن الفوري غير المباشر مما يؤدي إلى هجمات تنفيذ التعليمات البرمجية عن بعد والتي يمكنها التحكم بشكل كامل في Microsoft Copilot وتطبيقات الذكاء الاصطناعي الأخرى. في سيناريو الهجوم الافتراضي، يمكن لمتسلل خارجي يتمتع بقدرات تنفيذ التعليمات البرمجية خداع Copilot لتزويد المستخدمين بصفحات التصيد الاحتيالي.

ربما تكون إحدى الهجمات الأكثر حداثة هي القدرة على تحويل الذكاء الاصطناعي إلى آلة تصيد احتيالي. تقنية الفريق الأحمر مدبلجة LOLCopilot، يسمح للمهاجم الذي لديه حق الوصول إلى حساب البريد الإلكتروني للضحية بإرسال رسائل تصيد احتيالي تحاكي أسلوب المستخدمين المخترقين.

مايكروسوفت لديها أيضا اعترف يمكن أن تكون روبوتات Copilot المكشوفة علنًا والتي تم إنشاؤها باستخدام Microsoft Copilot Studio وتفتقر إلى أي حماية للمصادقة وسيلة للجهات الفاعلة في مجال التهديد لاستخراج المعلومات الحساسة، على افتراض أن لديهم معرفة مسبقة باسم Copilot أو عنوان URL.

“يجب على المؤسسات تقييم مدى تحملها للمخاطر والتعرض لها لمنع تسرب البيانات من مساعدي الطيارين (المعروفين سابقًا باسم Power Virtual Agents)، وتمكين منع فقدان البيانات وغيرها من الضوابط الأمنية وفقًا لذلك للتحكم في إنشاء ونشر مساعدي الطيارين،” ريبيرجر قال.

وجدت هذه المادة مثيرة للاهتمام؟ تابعونا على تغريد و ينكدين لقراءة المزيد من المحتوى الحصري الذي ننشره.

Source link