Microsoft Copilot Cowork 窃取文件

威胁情报目录 Microsoft Copilot Cowork 泄露文件 由于发送电子邮件和 Teams 消息的自动操作审批不安全，Microsoft Copilot Cowork 很容易受到通过间接提示注入的文件泄露攻击。这种攻击针对最先进的模型（包括 Claude Opus 4.7）取得了很高的成功率。概述 Copilot Cowork 是 Microsoft 365 中现已提供的一项 Frontier 功能。它在用户的 Microsoft 权限下运行，并且可以使用 Microsoft Graph 读取和操作 Microsoft 租户中的数据。在本文中，我们演示了通过间接提示注入中毒技能，攻击者可以从 M365 中窃取文件。这是通过利用以下事实来完成的：与其他敏感操作不同，向活动用户发送电子邮件和 Teams 消息不需要人工批准，并且在 Teams 或 Outlook 中打开受损消息可以触发攻击者控制的网络请求。这种风险反映出，让代理访问多个系统会扩大即时注入攻击面。孤立地看，代理的预期功能是良性的；然而，由于集成系统的特性，用户面临着风险。这让人想起我们之前关于通信应用程序中的 URL 预览如何成为代理的出口表面的工作。由于这种风险与系统的设计有关，在该系统中，代理在整个企业生态系统中以委派的权限行事，而不是与特定的错误有关，因此我们正在公开这项工作，以告知用户他们使用这种性质的代理产品所接受的风险。除了此风险之外，我们还向 Microsoft 披露了一个漏洞，该漏洞直接允许数据从 Copilot Cowork 的沙箱环境中流出。攻击链 微软有关操作批准的文档指出，“[Copilot] Cowork 在采取敏感操作（例如发送电子邮件或在 Teams 中发布消息）之前会请求您的许可。”然而，实际上，当接收者是活动用户时，这些操作会立即执行，无需人工批准（用户没有修改此行为的设置）。由于这些消息可能包含触发对外部网站的网络请求的外部图像，因此当用户打开代理发送的受损消息时，数据可能会被泄露。 Copilot Cowork 可以检索用户有权访问的文件的“预先验证的下载链接”，这允许任何打开该链接的人下载该文件。因此，受操纵的代理可以通过泄露预先验证的下载链接来泄露文件。受害者可以访问存储在 SharePoint 或 OneDrive 中的包含 PII 和财务数据的文件 受害者将技能文件上传到 Copilot Cowork，其中包含提示注入 对于一般用例，这很常见；用户在网上找到一个文件并将其作为技能上传。此攻击不依赖于注入源 - 其他注入源包括但不限于：来自 Claude for Chrome 的 Web 数据、连接的 MCP 服务器等。注意：管理员对“技能”的监督有限，因为 Copilot Cowork 中的技能是从用户 OneDrive 中的特定路径自动加载的。受害者要求 Microsoft Copilot Cowork 回顾他们本周的工作，从而触发该技能。 注入操作 Microsoft Copilot Cowork 发布一条 Teams 消息，该消息将在查看时泄露经过预先身份验证的文件下载链接。 注入告诉 Copilot Cowork 存在一项服务，可以为重述消息创建文档预览；为此，代理会检索每个文件的预先验证的文件下载链接，并通过恶意 HTML 图像标签将这些 URL 作为查询参数传递到攻击者控制的站点。在此过程中任何时候都不需要人工批准。如果我们展开“任务完成”块，我们可以看到代理的操作正在执行 - 但恶意消息内容永远不可见，即使单击 Teams 操作也是如此。当用户打开其 Teams 消息时，预先身份验证的下载链接将被泄露，攻击者可以通过访问链接“减轻组织风险”来下载文件 Microsoft Copilot Cowork 基本上具有用户通过 Microsoft Graph 执行的任何资源的读取权限。因此，减少此类攻击影响范围的主要机制是限制 Microsoft 生态系统中的过多许可。要限制用户检索文件的预先验证的下载链接的能力，管理员可以通过在 SharePoint Online Management Shell 中运行命令来限制从 SharePoint 下载文件： Set-SPOSite -Identity -BlockDownloadPolicy $true 或者，根据敏感度标签进行阻止： Set-Label -Identity -AdvancedSettings @{BlockDownloadPolicy="true"} 注意：此配置会影响功能；请注意：文档指出，对于策略“BlockDownloadPolicy”下的文件，“用户只能通过浏览器访问，没有能力