Microsoft Copilot слил конфиденциальные данные тысяч компаний через одну ссылку

Корпоративная версия Microsoft Copilot содержала критическую брешь, через которую атакующие могли вытаскивать данные сотрудников и перехватывать коды двухфакторной защиты. Жертве хватало кликнуть по подготовленной ссылке — дальше нейросеть сама собирала информацию и отправляла её наружу. Microsoft закрыла дыру после отчёта от исследователей Varonis и присвоила ей высший балл опасности.

Схема выглядит почти буднично. Атакующий готовит URL со встроенными инструкциями для Copilot, отправляет жертве, та переходит — и нейросеть начинает работать на злоумышленника, не дожидаясь дополнительных команд. Никаких всплывающих окон, никаких подтверждений, никакого ввода данных со стороны сотрудника.

Стоит обратить внимание на то, что вся вредоносная цепочка разворачивается за один клик — пользователю даже не нужно осознавать, что он стал участником атаки.

Под удар попадали данные, к которым Copilot Enterprise обращается в обычном режиме работы. Помощник наследует права того сотрудника, от чьего имени он запущен, поэтому фактически атакующий получал столько же доступа, сколько было у жертвы. Среди уязвимых ресурсов оказались:

• корпоративная почта и переписка в Outlook;
• личные заметки и черновики OneNote;
• календарь со встречами и приложенными файлами;
• внутренние документы в SharePoint и OneDrive;
• материалы рабочих чатов в Teams.

Самое неприятное обнаружилось в области аутентификации. При определённой конфигурации атаки нейросеть могла вытащить сведения, по которым реально обойти многофакторную и двухфакторную защиту сторонних сервисов. То есть скомпрометированной оказывалась не одна учётная запись Microsoft 365, а потенциально весь набор подключённых рабочих инструментов.

Технически уязвимость относится к классу Prompt Parameter Injection, или P2P. Метод отличается от классической атаки внедрением подсказок. В классическом варианте вредоносная команда лежит прямо в тексте запроса, который видит модель. В случае с P2P атакующий прячет инструкции в параметрах обработки запроса — тех самых служебных полях, на которые нейросеть опирается при формировании ответа. Модель воспринимает их как часть легитимного контекста и выполняет без проверки.

Отдельный сюрприз преподнесла связка Copilot с поиском Bing. Часть вредоносных команд маскировалась под обычные URL-адреса поисковика. Домен Bing у Microsoft в белом списке — его не блокируют корпоративные фильтры, к нему лояльно относятся системы мониторинга. Через эту лазейку трафик атаки выглядел как штатное обращение к поиску.

Интересно, что атакующие нашли способ использовать инфраструктуру самой Microsoft как канал для эксфильтрации — это классический пример, когда доверенный домен превращается в слабое звено.

В Varonis обращают внимание на масштаб возможного ущерба. Если жертва обладает административными или хотя бы расширенными правами, объём вытянутой информации сравним с серьёзной утечкой, организованной целенаправленной группой. При этом следов на стороне жертвы почти не остаётся:

• запросы идут от имени легального пользователя;
• активность вписывается в обычный профиль работы Copilot;
• трафик уходит через доверенные домены Microsoft;
• журнал событий фиксирует штатные действия ИИ-помощника;
• сотрудник не видит ни уведомлений, ни предупреждений.

История с Copilot Enterprise показывает фундаментальную проблему генеративных систем в корпоративной среде. Помощники получают доступ к гигантским массивам внутренних данных и при этом подчиняются инструкциям, которые не всегда удаётся отличить от пользовательских. Любая логическая дыра в обработке запросов превращается в готовый канал утечки. Архитектурно это не баг отдельного продукта, а свойство всего поколения ИИ-инструментов, которые сейчас разворачиваются в компаниях.

Ситуация совпала с волной массового внедрения корпоративных ассистентов. Десятки тысяч организаций по всему миру подключают Copilot, Gemini, ChatGPT Enterprise и аналогичные сервисы к рабочим процессам. Каждый из этих помощников по умолчанию имеет доступ к почте, документам, календарям, базам клиентов. И каждый из них теоретически подвержен той же логике атаки, что показала Varonis.

Ранее мы писали о том, что специалисты Adversa AI выявили опасную уязвимость сразу в нескольких популярных инструментах для ИИ-программирования. Проблема затронула Claude Code от Anthropic, Gemini CLI от Google, Cursor CLI и Copilot CLI от GitHub. Исследователи установили, что специально подготовленный вредоносный репозиторий способен добиться выполнения кода на компьютере разработчика после открытия проекта и подтверждения доверия к каталогу. Для запуска атаки злоумышленникам достаточно было использовать всего 2 JSON-файла и особенности модели доверия, реализованной в этих инструментах.

Эксперты редакции CISOCLUB заявили, что обнаруженная брешь — не разовый инцидент, а индикатор системного риска. Корпоративные ИИ-помощники сегодня выступают в роли пользователей с правами сотрудников, но без полноценного контроля действий. Закрытие конкретной уязвимости в Copilot решает локальную проблему, но не отвечает на главный вопрос — как строить мониторинг и аудит для нейросетей, работающих внутри периметра. Редакция рекомендует пересмотреть подход к интеграции ИИ-помощников и ввести отдельные политики доступа для таких систем. Без этого следующая P2P-атака — вопрос месяцев, а не лет.