Сегодня 02 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Microsoft 365 Copilot приспособили для кражи корпоративных данных в хитроумной цепочке

Исследователи из компании Varonis, специализирующейся на технологиях корпоративной безопасности, разработали схему атаки SearchLeak, которая позволяет похищать данные компаний, используя помощник с искусственным интеллектом Microsoft 365 Copilot, особенности работы браузеров и даже поисковую систему Bing — она используется в качестве прокси-сервера.

 Источник изображения: varonis.com

Источник изображения: varonis.com

Microsoft устранила уязвимости, необходимые для проведения SearchLeak, присвоив ей номер CVE-2026-42824 и критическую степень угрозы. SearchLeak объединяет три уязвимости, каждая из которых недостаточна для кражи данных. В отличие от потребительского Copilot, корпоративный Microsoft Copilot Enterprise Search производит поиск в данных компании: в электронной почте, материалах совещаний, файлах SharePoint и OneDrive.

Атака начинается с отправки на адрес потенциальной жертвы ссылки, в которой через параметр «q» для Copilot указываются вредоносные инструкции по поиску закрытых корпоративных данных и их отправке в параметрах подставного адреса картинки. Жертве достаточно кликнуть по этому адресу — Copilot сам находит для злоумышленника закрытую информацию и отправляет её. Похищенные данные ИИ-помощник подставляет в адрес изображения в теге <img> — при их выводе HTML-код подаётся внутри тегов <code>, но не сразу, и в какой-то момент до вывода кода он выполняется в браузере. Чтобы браузер не заблокировал такое обращение, оно производится через поиск по изображениям в Bing, то есть поисковая служба становится прокси-сервером для кражи данных. А сами данные злоумышленник фиксирует на собственном сервере через параметры, которые он считывает.

С точки зрения жертвы, Copilot просто некоторое время «думает», и никаких признаков кражи данных она не видит. Поскольку Microsoft закрыла уязвимость CVE-2026-42824, от пользователей не требуется никаких действий, чтобы смягчить угрозу.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Авторитетный инсайдер опроверг закрытие Obsidian Entertainment и работу студии над новой Fallout 3 мин.
Правительство США снова взломали: хакеры проникли в федеральную платформу для обмена разведданными 9 мин.
«Не можешь — научим, не хочешь — заставим»: Microsoft мобилизует 6000 сотрудников для помощи клиентам во внедрении ИИ 30 мин.
Браузер Opera получил продвинутую защиту от ввода вредоносных команд через буфер обмена 31 мин.
Google начала тестировать новую reCAPTCHA — пользователей просят показать руки в камеру, и не обязательно свои 55 мин.
ИИ оказался слишком дорогим: компании урезают сотрудникам доступ к ChatGPT и Claude 57 мин.
Студия создателя Deus Ex и System Shock перестанет делать игры — после провала Thick as Thieves в OtherSide осталось меньше десяти человек 2 ч.
Google не смогла отбиться от рекордного штрафа в €4,1 млрд в Европе 2 ч.
Кризис Xbox поставил под угрозу закрытия Obsidian — студию в ответе за Fallout: New Vegas, Pillars of Eternity и South Park: The Stick of Truth 3 ч.
Toyota собирается при помощи ИИ навести порядок в своей документации и терминологии 3 ч.