Microsoft corrige una vulnerabilidad crítica de Copilot que expone los códigos de 2FA

Microsoft corrigió la semana pasada el martes una vulnerabilidad calificada como de criticidad máxima en su plataforma de IA M365 Copilot. El lunes, investigadores de la empresa de seguridad Varonis que descubrieron la vulnerabilidad revelaron cómo su exploit de prueba de concepto podía recuperar códigos de autenticación de dos factores y otros datos sensibles de correos a los que Copilot podía acceder. La causa raíz se origina en la incapacidad de los bots de IA para distinguir entre las instrucciones proporcionadas por los usuarios y las incrustadas en el contenido de terceros que los modelos procesan, dejando a Microsoft y a otros proveedores de LLM sin posibilidad de impedir que sus productos cumplan solicitudes maliciosas de extracción de datos.

Los investigadores de Varonis eluden las protecciones de Copilot usando lenguaje de marcado

Microsoft incorporó salvaguardas en Copilot para evitar que el LLM envíe formularios web, envíe correos y realice acciones similares que podrían exfiltrar datos del usuario. Los investigadores de Varonis sortearon estas restricciones usando un lenguaje de marcado, que permite agregar elementos de formato como encabezados, listas y enlaces al texto sin etiquetas HTML. Otra solución alternativa consistió en envolver los datos sensibles dentro de etiquetas HTML como y . En ambos casos, una solicitud web que contiene los datos llega al servidor web del atacante, donde la información secreta se captura en los registros.

Microsoft implementó salvaguardas adicionales, incluida la inserción de la salida de Copilot dentro de bloques para que los navegadores la traten como texto plano, y la restricción de los sitios que Copilot puede visitar sin aprobación explícita. Aunque Copilot tiene permiso general para enviar solicitudes a dominios de Microsoft, las salvaguardas restringen las solicitudes a sitios no confiables.

Exploits de inyección de parámetro a prompt mediante parámetros de consulta de URL

Varonis ideó una cadena de explotación que eludió estas salvaguardas usando lo que los investigadores llaman una Inyección de Parámetro a Prompt. El parámetro en este caso es q en una URL, que marca una consulta que ha sido incluida. La Inyección de Parámetro a Prompt es un pariente cercano de la inyección de prompt, con la diferencia de que el comando malicioso se encuentra en el parámetro de la consulta en lugar de estar en un correo u otra pieza de contenido no confiable.

Preguntas frecuentes

¿Qué vulnerabilidad corrigió Microsoft en Copilot el martes pasado? Microsoft corrigió una vulnerabilidad de criticidad máxima en su plataforma de IA M365 Copilot que permitía que los hackers recuperaran códigos de autenticación de dos factores y otros datos sensibles de correos a los que Copilot podía acceder. Los investigadores de Varonis que descubrieron la vulnerabilidad revelaron su exploit de prueba de concepto el lunes.

¿Cómo eludieron los investigadores de Varonis las salvaguardas de seguridad de Copilot? Los investigadores de Varonis usaron lenguaje de marcado para agregar elementos de formato sin etiquetas HTML y envolvieron los datos sensibles dentro de etiquetas HTML como y . También emplearon una técnica de Inyección de Parámetro a Prompt que colocaba comandos maliciosos en parámetros de consulta de URL en lugar de en el contenido de correo, lo que permitió que las solicitudes web que contenían datos del usuario llegaran a servidores controlados por atacantes donde la información se capturaba en los registros.