Η εταιρεία Pen Test Partners, γνωστή για τις υπηρεσίες της σε θέματα ασφάλειας και penetration testing, πραγματοποίησε πρόσφατα μια δοκιμή ασφαλείας στο Microsoft Copilot AI για SharePoint. Το αποτέλεσμα ήταν ανησυχητικό, καθώς αποκαλύφθηκε πως οι red team hackers κατάφεραν να αποκτήσουν πρόσβαση σε προστατευμένα αρχεία, παρακάμπτοντας τα μέτρα ασφαλείας του SharePoint.
Κατά τη διάρκεια της δοκιμής, οι penetration testers εντόπισαν ένα κρυπτογραφημένο υπολογιστικό φύλλο που το SharePoint αρνήθηκε να ανοίξει, ανεξάρτητα από τις μεθόδους που χρησιμοποιήθηκαν. Ωστόσο, όταν οι hackers ζήτησαν από το Copilot AI να το ανακτήσει, ο πράκτορας τεχνητής νοημοσύνης κατάφερε να τυπώσει το περιεχόμενο, συμπεριλαμβανομένων των κωδικών πρόσβασης.
«Ο πράκτορας κατάφερε να τυπώσει επιτυχώς το περιεχόμενο», δήλωσε ο Jack Barradell-Johns, σύμβουλος ασφαλείας red team στην εταιρεία, «συμπεριλαμβανομένων των κωδικών πρόσβασης που μας επέτρεψαν να αποκτήσουμε πρόσβαση στο κρυπτογραφημένο υπολογιστικό φύλλο».
Πολλαπλά στάδια επίθεσης με AI
Το AI μπορεί να λειτουργήσει ως δύναμη καλού για την ασφάλεια, αλλά παράλληλα γίνεται και εργαλείο κακόβουλων ενεργειών. Ένα παράδειγμα είναι οι πρόσφατες επιθέσεις πολλαπλών σταδίων κατά χρηστών του Microsoft Teams, όπου οι επιτιθέμενοι εκμεταλλεύτηκαν τη δύναμη του AI.
Σύμφωνα με τον Barradell-Johns, κατά τη διάρκεια της δοκιμής, οι red team hackers βρήκαν ένα αρχείο με το όνομα passwords.txt, το οποίο βρισκόταν δίπλα στο κρυπτογραφημένο υπολογιστικό φύλλο. Παρότι το SharePoint εμπόδισε την πρόσβαση, οι hackers ζήτησαν από το Copilot AI να το ανακτήσει, κάτι που έγινε επιτυχώς.
«Ο πράκτορας κατάφερε να τυπώσει επιτυχώς το περιεχόμενο», ανέφερε ο Barradell-Johns, «συμπεριλαμβανομένων των κωδικών πρόσβασης, παρακάμπτοντας τους περιορισμούς προβολής που υπήρχαν».
Η αντίδραση της Microsoft
Σε επικοινωνία με τη Microsoft, εκπρόσωπος της εταιρείας δήλωσε:
«Οι αρχές προστασίας πληροφοριών του SharePoint διασφαλίζουν ότι το περιεχόμενο προστατεύεται σε επίπεδο αποθήκευσης μέσω δικαιωμάτων πρόσβασης ανά χρήστη και ότι η πρόσβαση καταγράφεται. Αυτό σημαίνει ότι αν ένας χρήστης δεν έχει άδεια πρόσβασης σε συγκεκριμένο περιεχόμενο, δεν θα μπορεί να το δει μέσω του Copilot ή οποιουδήποτε άλλου πράκτορα. Επιπλέον, οποιαδήποτε πρόσβαση στο περιεχόμενο μέσω του Copilot ή ενός πράκτορα καταγράφεται και παρακολουθείται για συμμόρφωση και ασφάλεια».
Ο Ken Munro, ιδρυτής της Pen Test Partners, σχολίασε σχετικά με τη δήλωση της Microsoft:
«Η Microsoft έχει δίκιο όσον αφορά τα δικαιώματα χρηστών, αλλά αυτό δεν είναι το θέμα που εκμεταλλευόμαστε εδώ. Επίσης, έχουν δίκιο για την καταγραφή, αλλά εξαρτάται από τη ρύθμιση. Σε πολλές περιπτώσεις, οι οργανισμοί δεν καταγράφουν τις δραστηριότητες που εκμεταλλευόμαστε εδώ. Η ύπαρξη πιο λεπτομερών δικαιωμάτων χρηστών θα μείωνε τον κίνδυνο, αλλά σε πολλούς οργανισμούς τα δεδομένα στο SharePoint δεν βρίσκονται υπό διαχείριση τόσο καλά όσο θα έπρεπε. Αυτό ακριβώς εκμεταλλευόμαστε. Οι πράκτορες αυτοί είναι ενεργοποιημένοι ανά χρήστη, βάσει αδειών χρήσης και οι οργανισμοί με τους οποίους μιλήσαμε δεν κατανοούν πάντα τις επιπτώσεις της προσθήκης αυτών των αδειών στους χρήστες τους».
