Предлагаем ознакомиться с Symantec Threat Landscape Bulletin, чтобы узнать подробнее о новостях из мира кибербезопасности за 12-13 июня 2025.
Microsoft исправляет критическую уязвимость «EchoLeak» в Copilot, позволявшую получить доступ к данным без ввода пользователем
Критическая уязвимость под названием EchoLeak, отслеживаемая под номером CVE-2025-32711 (оценка CVSS: 9,3), была обнаружена в Microsoft 365 Copilot, искусственном интеллекте, интегрированном в популярные приложения Microsoft Office, такие как Word, Excel, Outlook, Teams и SharePoint.
Согласно отчетам, это первая известная атака без кликов на ИИ-агента, позволяющая злоумышленникам похищать конфиденциальные данные организации без взаимодействия с пользователем, просто отправив специально созданное электронное письмо целевому пользователю. Уязвимости без кликов популярны среди злоумышленников, поскольку они могут работать без взаимодействия с пользователем или его ведома, что может повысить вероятность успеха атаки.
Эта новая уязвимость использует так называемый новый класс уязвимостей, называемый «нарушением области действия LLM», который был обнаружен исследователями из Aim Security. Она возникает, когда недоверенные данные, поступающие извне организации, используются для манипулирования большой языковой моделью ИИ, что позволяет злоумышленнику получить доступ к привилегированным данным системы и вывести их из нее.
Для осуществления атаки злоумышленник может скрыть инструкции для ИИ-помощника в безобидном на вид электронном письме. Когда Copilot обрабатывает это письмо, в фоновом режиме он считывает и выполняет скрытый вредоносный запрос ИИ, который может быть создан таким образом, чтобы извлечь конфиденциальную информацию, такую как электронные письма, документы, истории чатов и содержимое SharePoint. Затем похищенные данные тайно отправляются на сервер злоумышленника через доверенные домены Microsoft, используемые Teams или SharePoint, чтобы помочь им обойти политики безопасности контента.
Microsoft устранила уязвимость на своих серверах в мае 2025 года, поэтому для устранения проблемы не требуется никаких действий со стороны пользователей. Компания также отметила, что не было обнаружено никаких доказательств реального использования этой уязвимости. Однако эта уязвимость подчеркивает дополнительные риски, связанные с ИИ-помощниками как еще одним каналом для атак.
Злоумышленники используют инструмент для пентестинга, чтобы атаковать тысячи учетных записей Microsoft Entra ID
Сообщается, что за крупномасштабной кампанией по рассылке поддельных паролей, которая затронула более 80 000 учетных записей Microsoft Entra ID (ранее известных как Azure Active Directory или Azure AD) в сотнях организаций по всему миру, стоит злоумышленник под ником UNK_SneakyStrike.
Атаки начались в декабре 2024 года и достигли пика активности в начале января 2025 года, когда за один день было атаковано 16 500 учетных записей. Эти атаки принесли злоумышленникам множество успешных захватов учетных записей.
Для осуществления атаки злоумышленники используют фреймворк TeamFiltration – кроссплатформенный инструмент для пентестинга, разработанный в 2022 году исследователем TrustedSec Мелвином Лангвиком. TeamFiltration был разработан, чтобы помочь командам пентестеров тщательно тестировать и проверять среды Microsoft 365 на наличие потенциальных уязвимостей, которые могут быть использованы хакерами, но, как и многие инструменты для пентестинга, его функции могут также пригодиться злоумышленникам. В данном случае инструмент используется злоумышленником для перечисления, распыления паролей, экфильтрации и установки бэкдоров на скомпрометированные учетные записи Entra ID.
Источники атак, по всей видимости, находятся в инфраструктуре Amazon Web Services (AWS), расположенной преимущественно в США, Ирландии и Великобритании. Показательным признаком возможных попыток атак является использование редко используемой строки пользовательского агента «Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Teams/1.3.00.30866 Chrome/80.0.3987.165 Electron/8.5.1 Safari/537.36».
В небольших организациях злоумышленники пытаются атаковать всех пользователей, но в крупных организациях целью атаки становится только часть пользователей. В любом случае, злоумышленнику вряд ли понадобится более одной-двух ключевых учетных записей, чтобы скомпрометировать организацию. Получив доступ, злоумышленники могут получить доступ к широкому спектру ресурсов и приложений, доступных для учетной записи, и потенциально использовать этот доступ для зондирования и перехода к другим местам или системам внутри организации.
Читайте Symantec Protection Bulletin, чтобы узнать больше о том, как продукты Symantec защищают вас от угроз.
