ASCII 밀수라는 기술을 사용하여 민감한 사용자 정보를 훔칠 수 있는 Microsoft 365 Copilot의 패치된 취약점에 대한 자세한 정보가 밝혀졌습니다.
보안 연구원인 요한 레흐베르거는 “ASCII 스머글링은 ASCII를 모방하지만 실제로는 사용자 인터페이스에서 볼 수 없는 특수한 유니코드 문자를 사용하는 새로운 기술”이라고 말했습니다.
“이것은 공격자가 (대규모 언어 모델)을 통해 사용자에게 보이지 않는 데이터를 렌더링하고 클릭 가능한 하이퍼링크에 임베드할 수 있다는 것을 의미합니다. 이 기술은 기본적으로 데이터를 유출하기 위해 준비합니다!”
전체 공격은 여러 공격 방법을 연결하여 신뢰할 수 있는 익스플로잇 체인을 형성합니다. 여기에는 다음 단계가 포함됩니다.
- 채팅에서 공유되는 문서에 숨겨진 악성 콘텐츠를 통해 즉각적인 주입을 트리거합니다.
- Copilot에 추가 이메일 및 문서를 검색하도록 지시하기 위해 프롬프트 주입 페이로드 사용
- 사용자가 링크를 클릭하도록 유도하여 귀중한 데이터를 제3자 서버로 빼내기 위해 ASCII 밀수를 활용합니다.
공격의 순 결과는 다중 요소 인증(MFA) 코드를 포함하여 이메일에 있는 민감한 데이터가 적대자가 제어하는 서버로 전송될 수 있다는 것입니다. Microsoft는 2024년 1월 책임 있는 공개 이후 이 문제를 해결했습니다.
Microsoft Copilot 시스템을 대상으로 응답을 조작하고, 개인 데이터를 빼돌리고, 보안 보호 기능을 회피할 수 있는 개념 증명(PoC) 공격이 시연되면서 인공지능(AI) 도구의 위험을 모니터링해야 할 필요성이 다시 한번 부각되었습니다.
Zenity에서 자세히 설명한 이 방법을 사용하면 악의적인 행위자가 검색 증강 생성(RAG) 포이즈닝과 간접 프롬프트 주입을 수행하여 Microsoft Copilot 및 기타 AI 앱을 완전히 제어할 수 있는 원격 코드 실행 공격으로 이어질 수 있습니다. 가상의 공격 시나리오에서 코드 실행 기능이 있는 외부 해커는 Copilot을 속여 사용자에게 피싱 페이지를 제공할 수 있습니다.
아마도 가장 새로운 공격 중 하나는 AI를 스피어 피싱 머신으로 바꾸는 능력일 것입니다. LOLCopilot이라는 이름의 레드팀 기법은 피해자의 이메일 계정에 접근할 수 있는 공격자가 손상된 사용자의 스타일을 모방한 피싱 메시지를 보낼 수 있도록 합니다.
Microsoft는 또한 Microsoft Copilot Studio를 사용하여 생성되고 인증 보호 기능이 없는 공개적으로 노출된 Copilot 봇이 위협 행위자가 사전에 Copilot 이름이나 URL을 알고 있다고 가정할 때 이를 통해 중요 정보를 추출할 수 있는 수단이 될 수 있다는 점을 인정했습니다.
Rehberger는 “기업은 Copilot(이전 Power Virtual Agents)의 데이터 유출을 방지하기 위해 위험 허용 범위와 노출 수준을 평가하고, 이에 따라 데이터 손실 방지 및 기타 보안 제어를 활성화하여 Copilot의 생성 및 게시를 제어해야 합니다.”라고 말했습니다.