Um pesquisador de cibersegurança descobriu uma vulnerabilidade crítica no assistente de IA Copilot, integrado ao Microsoft 365, que permite a atores maliciosos exfiltrar dados sensíveis.

O exploit, previamente submetido ao Microsoft Security Response Center (MSRC), combina várias técnicas sofisticadas, representando riscos significativos à segurança e privacidade dos dados. A vulnerabilidade foi identificada durante uma pesquisa publicada pela equipe Embrace The Red.

O ataque segue várias etapas. Inicialmente, a vítima recebe um e-mail ou documento malicioso contendo instruções ocultas. Quando essas instruções são processadas pelo Copilot, a ferramenta é ativada automaticamente, procurando por e-mails e documentos adicionais, o que intensifica o ataque sem a intervenção do usuário.

O elemento central desse exploit é a técnica conhecida como ASCII Smuggling. Esse método usa caracteres Unicode específicos para tornar os dados invisíveis ao usuário. Os atacantes podem inserir informações sensíveis em hiperlinks, que ao serem clicados, transmitem dados para servidores sob controle dos invasores.

A pesquisa demonstrou um cenário onde um documento do Word, contendo instruções especialmente criadas, enganou o Microsoft Copilot, levando-o a executar ações típicas de atividades fraudulentas. Esse documento utilizou uma técnica de “Injeção de Prompt”, permitindo que comandos fossem inseridos no texto, os quais o Copilot interpretou como solicitações legítimas.

À medida que o Copilot processava o documento, ele começou a executar as ações embutidas como se fossem comandos normais do usuário. Como resultado, a ferramenta iniciou automaticamente ações que poderiam levar ao vazamento de informações sensíveis ou outras formas de fraude, sem qualquer aviso ao usuário.

A etapa final do ataque é a exfiltração de dados. Controlando o Copilot e acessando dados adicionais, os invasores inserem informações ocultas em hiperlinks, que ao serem clicados pelos usuários, transmitem os dados para servidores externos.

Para mitigar o risco, o pesquisador recomendou várias medidas à Microsoft, incluindo a desativação da interpretação de tags Unicode e a prevenção da exibição de hiperlinks. Embora a Microsoft tenha implementado algumas correções, os detalhes dessas medidas permanecem não divulgados, gerando preocupações.

A resposta da empresa à vulnerabilidade identificada foi parcialmente bem-sucedida: alguns exploits não funcionam mais. No entanto, a falta de informações detalhadas sobre as correções aplicadas deixa dúvidas sobre a segurança completa da ferramenta.

Esse caso destaca a complexidade de garantir a segurança de ferramentas impulsionadas por IA e a necessidade de colaboração contínua e transparência para proteger contra ameaças futuras.