EchoLeak è una vulnerabilità di sicurezza in Microsoft 365 Copilot che ha permesso agli aggressori di accedere a dati aziendali sensibili. Non era richiesta alcuna azione da parte dell'utente di Copilot. Piuttosto, un'istruzione dannosa per Copilot è stata inserita di nascosto in un'e-mail che la vittima doveva solo ricevere per essere esposta al problema di sicurezza.
Introduzione
Il Copilot di Microsoft è una AI generale che in alcuni aspetti sembra utile, ma spesso deve essere considerato un fallimento. Un semplice test con un compito molto semplice ha rivelato l' eclatante fallimento del Copiloto a livello funzionale.
Sappiamo bene che Microsoft raccoglie in grande stile i dati dei clienti senza alcun senso di colpa. Anzi, Microsoft fa anche aprire questo progetto (probabilmente per motivi legali).
La grande minaccia che si profila per le aziende e gli utenti privati di Copilot è relativamente nuova. Copilot accede a quasi tutti i dati presenti sui computer su cui è installato. Attraverso la piattaforma Microsoft 365, in cui Copilot è "integrata senza soluzione di continuità", vengono inviate nuovamente dei dati nel mondo, ad esempio tramite l'app Teams.
EchoLeak sfrutta questo astutamente. Un utente di Copilot non doveva commettere un errore per essere coinvolto. Basta essere un utente di Copilot per essere attaccato e sottoposto a perdite di dati. Microsoft ha taciuto e silenziosamente coperto la vulnerabilità di sicurezza e l'ha chiusa solo quattro mesi dopo la segnalazione attraverso un "whistleblower".
Che cos'è EchoLeak?
EchoLeak è una Zero-Click Security Vulnerability. Cioè: Siete i poveri diavoli anche se non avete fatto nulla di male e non avete cliccato da nessuna parte dove non dovevate cliccare. Non siete in colpa, ma Microsoft 365 Copilot lo è.
Il risultato di EchoLeak è l'esfiltrazione dei dati dal sistema. Questa esfiltrazione consente a persone non autorizzate di ottenere i vostri dati grazie a Copilot e al grande ecosistema Microsoft 365. L'attaccante non deve interagire con l'utente per avere successo.
Sono stati colpiti i sistemi Microsoft 365 Copilot in tutte le configurazioni. L'accesso ai dati era possibile tramite Word, Excel, PowerPoint, Outlook, Teams, siti SharePoint, contenuti OneDrive e Microsoft Graph.
Analisi tecnica
L'attacco EchoLeak ha avuto successo perché il modello linguistico di Copilot (LLM) non funzionava con sufficienti restrizioni. Invece, tutti i dati possibili provenienti dalle stazioni di lavoro che eseguono Copilot sono stati semplicemente immessi nell'intelligenza artificiale di Microsoft e analizzati. In questo modo, i dati interni affidabili sono stati mescolati con input esterni non affidabili nello stesso "processo di pensiero".
Ciò significa che un'e-mail ricevuta da un utente malintenzionato (inclusa un'e-mail di spam) poteva far sì che Copilot accedesse ai dati interni e li inoltrasse all'utente malintenzionato.
Es esiste una banca dati in cui sono elencate le vulnerabilità di prodotti software rilevanti. Questa si chiama CVE (Common Vulnerabilities and Exposures). Ogni vulnerabilità viene valutata per la sua criticità. 10 è il valore più alto.
La vulnerabilità di Microsoft 365 Copilot, chiamata EchoLeak, ha ricevuto un punteggio di 9,3, che dimostra quanto fosse critico il problema che Microsoft aveva messo a tacere.
Anche se Microsoft avesse informato tutti i clienti, le sue azioni sarebbero state comunque molto discutibili. Il fatto stesso che il problema esistesse è un segno della strana concezione che Microsoft ha della protezione e della sicurezza dei dati. L'accesso completo a tutti i dati di un sistema non dovrebbe almeno avvenire per impostazione predefinita. Forse sarebbe stata meglio una richiesta adeguata, trasparente e facilmente comprensibile ai clienti dipendenti da Microsoft?
Che Microsoft abbia lavorato per quattro mesi sul problema, fino a sperare di averlo risolto, mostra un'altra faccia del disastro. Microsoft non può o non vuole risolvere velocemente grandi lacune di sicurezza che possono mettere in pericolo l'esistenza di aziende.
Conclusione
Si può spegnere Copilot. Questo sarebbe il meglio per molti utenti. Ci sono altri e soprattutto migliori sistemi, che sono molto più sicuri e anche funzionalmente migliori.
Molti stati e regioni federali vanno via da Microsoft. La comodità è un ostacolo per molti di loro. Ma sempre più persone riconoscono la minaccia strutturale che scaturisce dai prodotti Cloud di Microsoft.
Oggi i grandi prodotti cloud non solo possono essere acquistati dal proprio Paese, ma possono anche essere sviluppati con uno sforzo molto minore rispetto al passato. L'impegno richiesto rispetto a tre anni fa è probabilmente 10 volte inferiore.
In futuro non ci saranno più problemi di sicurezza con i prodotti Microsoft. Lo prometto!
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
