Сегодня 04 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Microsoft 365 Copilot приспособили для кражи корпоративных данных в хитроумной цепочке

Исследователи из компании Varonis, специализирующейся на технологиях корпоративной безопасности, разработали схему атаки SearchLeak, которая позволяет похищать данные компаний, используя помощник с искусственным интеллектом Microsoft 365 Copilot, особенности работы браузеров и даже поисковую систему Bing — она используется в качестве прокси-сервера.

 Источник изображения: varonis.com

Источник изображения: varonis.com

Microsoft устранила уязвимости, необходимые для проведения SearchLeak, присвоив ей номер CVE-2026-42824 и критическую степень угрозы. SearchLeak объединяет три уязвимости, каждая из которых недостаточна для кражи данных. В отличие от потребительского Copilot, корпоративный Microsoft Copilot Enterprise Search производит поиск в данных компании: в электронной почте, материалах совещаний, файлах SharePoint и OneDrive.

Атака начинается с отправки на адрес потенциальной жертвы ссылки, в которой через параметр «q» для Copilot указываются вредоносные инструкции по поиску закрытых корпоративных данных и их отправке в параметрах подставного адреса картинки. Жертве достаточно кликнуть по этому адресу — Copilot сам находит для злоумышленника закрытую информацию и отправляет её. Похищенные данные ИИ-помощник подставляет в адрес изображения в теге <img> — при их выводе HTML-код подаётся внутри тегов <code>, но не сразу, и в какой-то момент до вывода кода он выполняется в браузере. Чтобы браузер не заблокировал такое обращение, оно производится через поиск по изображениям в Bing, то есть поисковая служба становится прокси-сервером для кражи данных. А сами данные злоумышленник фиксирует на собственном сервере через параметры, которые он считывает.

С точки зрения жертвы, Copilot просто некоторое время «думает», и никаких признаков кражи данных она не видит. Поскольку Microsoft закрыла уязвимость CVE-2026-42824, от пользователей не требуется никаких действий, чтобы смягчить угрозу.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
TSMC получила разрешение тайваньских властей потратить ещё $20 млрд на завод в США 2 ч.
Вместо тысяч датчиков одна дешёвая камера — роботов научили чувствовать пальцами 3 ч.
В 2028 году Samsung планирует выпустить серийный смартфон с рулонным дисплеем 4 ч.
Портативная консоль AyaNeo Next 2 на AMD Strix Halo выйдет на мировой рынок — цена флагмана составит $5300 4 ч.
Micron начала строительство ещё одного завода по производству памяти в Хиросиме — он заработает в 2028 году 4 ч.
Из-за складного iPhone цены на складные смартфоны вырастут в среднем почти на 20 % 5 ч.
Производители памяти призвали власти США отказаться от регулирования рынка, чтобы не стало ещё хуже 5 ч.
Alibaba представила ИИ-агента для поиска сверхпроводников — он сразу открыл четыре новых 5 ч.
Ampera напечатала на 3D-принтере малый ториевый реактор для питания дата-центров 6 ч.
DriveNets представила коммутаторы 2600SL и 2601S с 64 портами на 1,6 Тбит/с 7 ч.