Microsoft несколько месяцев боролась с критической уязвимостью в Copilot

Серьезная уязвимость в системе безопасности Microsoft 365 Copilot позволила злоумышленникам получить доступ к конфиденциальным данным компании с помощью специально составленного электронного письма — без каких-либо кликов или взаимодействия с пользователем. Уязвимость под названием «EchoLeak» была обнаружена компанией Aim Security, специализирующейся на кибербезопасности.

Copilot, помощник Microsoft с искусственным интеллектом для приложений Office, таких как Word, Excel, PowerPoint и Outlook, предназначен для автоматизации задач. Но именно эта возможность делает его уязвимым: одно электронное письмо со скрытыми инструкциями может побудить Copilot искать внутренние документы и раскрывать конфиденциальную информацию, включая содержимое электронных писем, таблиц или чатов.

Поскольку Copilot автоматически сканирует электронные письма в фоновом режиме, помощник интерпретировал поддельное сообщение как законную команду. Пользователь так и не увидел инструкций и не понял, что происходит. Компания Aim Security описывает это как атаку «без клика» — тип уязвимости, не требующий никаких действий со стороны жертвы.

В Microsoft сообщили Fortune, что проблема уже устранена и что ни один клиент не пострадал. «Мы уже обновили наши продукты, чтобы устранить эту проблему, и никаких действий со стороны клиентов не требуется. Мы также внедряем дополнительные многоуровневые меры защиты для дальнейшего укрепления нашей системы безопасности», — заявил представитель компании. Компания Aim Security ответственно сообщила об обнаружении уязвимости.

Тем не менее, по словам Эйма, потребовалось пять месяцев, чтобы полностью решить проблему. Microsoft получила первое предупреждение в январе 2025 года и выпустила первое исправление в апреле, но в мае