Lỗ hổng AI Zero-Click nghiêm trọng lần đầu tiên xuất hiện trong Microsoft 365 Copilot

Tran Hoang PhongTran Hoang Phong
5 min read

Một kỹ thuật tấn công mới có tên EchoLeak đã được mô tả là lỗ hổng liên quan tới kỹ thuật zero-click tương tác với trí tuệ nhân tạo (AI) cho phép kẻ tấn công đánh cắp dữ liệu nhạy cảm của Microsoft 365 (M365) Copilot mà không cần bất kỳ tương tác nào của người dùng.

Thông tin chi tiết về lỗ hổng

  • Định danh lỗ hỏng: CVE-2025-32711

  • Mức độ nghiêm trọng: Critical

  • Điểm CVSS: 9.3

  • Mô tả chung: Lỗ hổng này tạo điều kiện cho kẻ tấn công tiêm câu lệnh AI độc hại vào M365 Copilot nhằm trích xuất thông tin qua mạng.

  • Phiên bản bị ảnh hưởng:

    • Các phiên bản OpenSSH trước 4.4p1 bị ảnh hưởng trừ khi đã được patch CVE-2006-5051 và CVE-2008-4109 trước đó.

    • Các phiên bản từ 4.4p1 trở lên, nhưng không bao gồm phiên bản 8.5p19.8p1.

Lỗ hổng này hiện đã được Microsoft giải quyết và nó không yêu cầu người sử dụng phải cập nhật bản vá nào. Cũng không có bằng chứng nào cho thấy lỗ hổng này đã bị khai thác trong thực tế. Đơn vị đã phát hiện và báo cáo sự cố, cho biết đây là trường hợp Vi phạm phạm vi mô hình ngôn ngữ lớn (LLM), bước đầu cho việc tiêm lệnh nhắc gián tiếp (indirect prompt injection), dẫn đến hành vi không mong muốn.

Cách thức khai thác

Kỹ thuật EchoLeak dựa trên khái niệm vi phạm phạm vi hoạt động của LLM (LLM Scope Violation). Cơ chế này được hiểu là việc nội dung không đáng tin cậy – ví dụ như email từ bên ngoài tổ chức – được đưa vào ngữ cảnh xử lý dữ liệu nhạy cảm của AI mà không có sự phân tách rõ ràng.

Trong trường hợp cụ thể, kẻ tấn công gửi một email đến hộp thư công việc của người dùng Microsoft 365, nội dung được định dạng dưới dạng markdown chứa một chuỗi prompt độc hại. Khi người dùng sử dụng Copilot để truy vấn thông tin có liên quan, công cụ RAG của hệ thống sẽ trích xuất dữ liệu từ cả nội dung email đó và tài liệu nội bộ được cấp quyền, vô tình đưa thông tin nhạy cảm vào ngữ cảnh đầu ra của Copilot.

Hình 1. Copilot bị lợi dụng để đưa ra thông tin nhạy cảm

Dữ liệu sau đó có thể bị rò rỉ qua các nền tảng chia sẻ như Microsoft Teams hoặc SharePoint, hoặc thậm chí được truyền qua các URL được nhúng trong kết quả trả về. Toàn bộ quá trình này không yêu cầu người dùng phải thực hiện bất kỳ thao tác cụ thể nào như nhấp chuột hoặc mở tệp đính kèm.

Mức độ rủi ro và tác động an ninh

Điểm nổi bật nhất của EchoLeak là khả năng khai thác mà không cần tương tác từ người dùng. Điều này khiến nó trở nên đặc biệt nguy hiểm trong các môi trường doanh nghiệp sử dụng AI để tự động hóa xử lý thông tin. Kẻ tấn công chỉ cần một điểm vào nhỏ – như một email có định dạng markdown – là có thể kích hoạt chuỗi sự kiện dẫn đến rò rỉ dữ liệu ở cấp độ hệ thống.

EchoLeak cũng cho thấy một điểm yếu nghiêm trọng trong kiến trúc bảo mật hiện tại của các mô hình ngôn ngữ lớn: AI có thể vô tình bị thao túng để chống lại chính hệ thống mà nó được thiết kế để hỗ trợ. Đây là lần đầu tiên một cuộc tấn công dạng prompt injection được triển khai thành công trong môi trường zero-click ở quy mô doanh nghiệp, tạo tiền đề cho một thế hệ mới các mối đe dọa AI-driven.

Aim Security – đơn vị phát hiện và báo cáo lỗ hổng – nhấn mạnh rằng EchoLeak không chỉ là một lỗ hổng kỹ thuật đơn lẻ mà là ví dụ điển hình về việc thiết kế hệ thống AI không tính đến các kịch bản tấn công gián tiếp. Rủi ro càng lớn khi AI có quyền truy cập vào các tài nguyên nhạy cảm nhưng thiếu các biện pháp kiểm soát truy xuất dựa trên ngữ cảnh.

Khuyến nghị

Phía FPT Threat Intelligence khuyến nghị tổ chức và cá nhân một số cách để phòng chống chiến dịch tấn công nguy hiểm này:

  • Tăng cường kiểm soát nội dung đầu vào cho LLM: Thiết lập các bộ lọc nội dung nhằm ngăn ngừa prompt độc hại ẩn trong email, tài liệu markdown hoặc các định dạng khác được đưa vào môi trường xử lý của AI.

  • Phân tách rõ ràng dữ liệu nội bộ và dữ liệu bên ngoài: Cấu hình hệ thống sao cho AI agent không tự động truy xuất và xử lý đồng thời cả email từ bên ngoài và tài liệu nội bộ trong cùng một ngữ cảnh.

  • Giới hạn quyền truy cập của AI agent: Hạn chế phạm vi dữ liệu mà AI có thể truy xuất bằng cách áp dụng cơ chế phân quyền theo vai trò (RBAC) hoặc kiểm soát ngữ cảnh (contextual access).

  • Giám sát hành vi và hoạt động của AI agent: Triển khai hệ thống giám sát để phát hiện các hành vi bất thường trong quá trình AI thực hiện nhiệm vụ, đặc biệt là các truy xuất dữ liệu không phù hợp với mục tiêu truy vấn ban đầu.

  • Đào tạo nhận thức an ninh cho người dùng cuối: Hướng dẫn người dùng hiểu rõ về rủi ro prompt injection và vai trò của họ trong việc đảm bảo an toàn thông tin, bao gồm việc không yêu cầu Copilot xử lý các nội dung chưa được kiểm duyệt.

  • Thực hiện đánh giá bảo mật định kỳ cho hệ thống AI: Đánh giá khả năng chống chịu của mô hình ngôn ngữ lớn trước các kỹ thuật tấn công gián tiếp như EchoLeak, và áp dụng các bản vá hoặc cập nhật cấu hình phù hợp.

Tham khảo

0
Subscribe to my newsletter

Read articles from Tran Hoang Phong directly inside your inbox. Subscribe to the newsletter, and don't miss out.

echoleakAIvulnerabilitym365copilot

Written by

Tran Hoang Phong
Tran Hoang Phong

Just a SOC Analyst ^^