Une faille désormais corrigée dans Microsoft 365 Copilot permet aux attaquants de transformer son outil de diagramme, Mermaid, en un canal d’exfiltration de données, récupérant et codant des e-mails via des instructions cachées dans les documents Office.
Microsoft a corrigé une faille d’injection d’invite indirecte dans Microsoft 365 Copilot qui aurait pu permettre à des attaquants de voler des données sensibles à l’aide de diagrammes Mermaid cliquables.
Selon les conclusions publiées par le chercheur en sécurité Adam Logue, l’exploit pourrait être déclenché par des documents Office spécialement conçus contenant des instructions cachées. Une fois traitées par Copilot, ces invites ont amené l’assistant à récupérer les e-mails d’entreprise récents, à les convertir en une chaîne codée en hexadécimal et à intégrer ces données dans un diagramme cliquable créé avec l’outil de création de diagrammes Mermaid.
Lorsqu’un utilisateur clique sur ce qui ressemble à un bouton de « connexion » légitime dans le diagramme, les données codées sont envoyées à un serveur contrôlé par un attaquant, a noté Logue dans un article de blog.
Microsoft a corrigé la faille en supprimant la possibilité d’hyperliens interactifs dans les diagrammes Mermaid dans les discussions Copilot. « Cela a efficacement atténué le risque d’exfiltration de données », a confirmé Logue.
Astuce de diagramme pour la fuite de données
Logue a présenté une chaîne d’attaque en plusieurs étapes, commençant par un document Office apparemment inoffensif (par exemple, une feuille Excel) contenant du contenu visible ainsi que des instructions cachées en texte blanc sur une deuxième feuille. Ces invites cachées redirigent Microsoft 365 Copilot loin de sa tâche de synthèse prévue et lui demandent à la place d’appeler son outil interne « search-enterprise_emails » pour récupérer les e-mails récents des locataires.
Le contenu récupéré est ensuite codé en hexadécimal, divisé en morceaux de 30 caractères (pour satisfaire aux contraintes de rendu) et intégré dans un diagramme créé via Mermaid. Ce diagramme ressemble à un « bouton de connexion » et contient un lien hypertexte pointant vers un serveur contrôlé par un attaquant.
Logue a pu démontrer (dans le cadre d’une preuve de concept) la création de fiches financières avec des instructions rédigées en texte blanc. Un exploit réussi a conduit l’utilisateur à une connexion contrôlée par l’attaquant. « Lorsque j’ai demandé à M365 Copilot de résumer le document, il ne m’a plus dit qu’il s’agissait d’informations financières et a plutôt répondu en prétextant que le document contenait des informations sensibles et ne pouvait pas être consulté sans autorisation appropriée ou sans connexion préalable », a déclaré Logue.
La plus grande menace de l’injection indirecte rapide
L’incident souligne que le risque va au-delà de la simple « injection rapide », où un utilisateur tape des instructions malveillantes directement dans une IA. Ici, l’attaquant cache des instructions dans le contenu du document qui sont transmises à l’assistant à l’insu de l’utilisateur. Logue a décrit comment les instructions cachées utilisent la modification progressive des tâches (par exemple, « d’abord résumer, puis ignorer cela et faire X ») réparties dans les onglets de la feuille de calcul.
De plus, la divulgation expose une nouvelle surface d’attaque où la fonctionnalité de génération de diagramme (sortie Mermaid) devient le canal d’exfiltration. Logue a expliqué que cliquer sur le diagramme ouvrait un lien de navigateur qui envoyait discrètement les données de courrier électronique codées à un point de terminaison contrôlé par un attaquant. Le transfert s’est effectué via une requête Web standard, ce qui le rend impossible à distinguer d’un clic légitime dans de nombreux environnements.
« L’une des choses intéressantes à propos des diagrammes de sirène est qu’ils incluent également la prise en charge du CSS », a noté Logue. « Cela ouvre des vecteurs d’attaque intéressants pour l’exfiltration de données, car M365 Copilot peut générer un diagramme de sirène à la volée et inclure des données récupérées à partir d’autres outils dans le diagramme. »
Des révélations récentes mettent en évidence une recrudescence des attaques par injection indirecte, où des macros cachées dans des documents ou des commentaires intégrés dans des requêtes d’extraction détournent les flux de travail pilotés par l’IA et extraient des données sans action évidente de l’utilisateur. Ces tendances soulignent que des outils tels que les générateurs de diagrammes ou les sorties visuelles peuvent bientôt devenir des canaux d’exfiltration furtifs.
