ช่องโหว่บน Microsoft 365 Copilot ที่อาจทำให้แฮกเกอร์สามารถขโมยอีเมล
จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบบั๊กที่อยู่บนเครื่องมือ AI Copilot for Microsoft 365 ที่ช่วยให้แฮกเกอร์สามารถทำการดึงอีเมล, ปฏิทิน (Calendar), และไฟล์ Index ผ่านทาง Microsoft 365 Copilot Enterprise Search ได้ในคลิ๊กเดียว โดยที่ไม่ต้องใช้คำสั่ง (Prompt) หรือป้อนรหัสผ่าน (Password) แต่อย่างใด นอกจากนั้นในส่วนของการแอบถ่ายโอนข้อมูล (Exfiltration) ยังเป็นการชี้ไปยังโดเมนของไมโครซอฟท์โดยตรง ทำให้ระบบกลั่นกรอง URL (URL Filter) และระบบต่อต้านการหลอกลวง (Anti-Phishing) ไม่สามารถทำงานเพื่อสกัดกั้นได้ ซึ่งช่องโหว่ดังกล่าวนั้นถูกตั้งชื่อว่า SearchLeak ภายใต้รหัส CVE-2026-42824 ทว่าส่วนของคะแนนความอันตราย หรือ CVSS Score นั้นกลับยังไม่มีผลสรุป เพราะทางไมโครซอฟท์นั้นให้คะแนนที่ต่ำมาก เพียง 6.5 ขณะที่ทางองค์กรฐานข้อมูลช่องโหว่ความปลอดภัยแห่งชาติ (NVD หรือ National Vulnerability Database) กลับให้คะแนนที่สูงถึง 7.5
ทางทีมวิจัยของไมโครซอฟท์กล่าวว่า ช่องโหว่นี้เป็นช่องโหว่ประเภทการยิงคำสั่ง หรือ Command Injection ที่อยู่ในส่วนพารามิเตอร์ (Parameter) q ของ Copilot Enterprise Search URL ทำให้ทางทีมวิจัยจาก Varonis บริษัทผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลและระบบ AI ได้ให้คำนิยามใหม่ว่า เป็นช่องโหว่แบบ Parameter-to-Prompt Injection เพราะแฮกเกอร์สามารถสร้าง URL ที่สั่งให้ตัว AI ทำการล้วงข้อมูลในกล่องจดหมาย (Mailbox), สั่งให้ดึงหัวข้ออีเมล (Email Title), และวางแอบไว้ใน URL ของรูปภาพ หลอกให้เหยื่อคลิ๊ก เพียงเท่านี้ตัว AI ก็จะล้วงข้อมูลภายในกล่องอีเมลออกมาให้
ในการใช้งานช่องโหว่ความปลอดภัยดังกล่าวนั้นยังมีอีกปัจจัยหนึ่งที่ต้องคำนึงคือ สภาวะแข่งขัน หรือ Race Condition เนื่องจากตัว Copilot นั้นมีระบบป้องกัน (Guardrail) ส่วนของบล็อกการส่งออกค่า (Output) ที่เป็น ให้ออกมาเป็นเพียงตัวอักษร (Text) ธรรมดา ดังนั้นต้องอาศัยจังหวะในการยิงตัวแท็ก (Tag) ลงไปก่อนที่ความสะอาดค่า (Sanitization) จะทำงาน เพื่อให้ส่วน Output ที่ทางแฮกเกอร์จะได้รับนั้นเป็นไปตามความตั้งใจของแฮกเกอร์ นอกจากนั้น เพื่อให้ตัวลิงก์ที่ส่งออกไปสามารถผ่านนโยบายควบคุมคอนเทนต์ หรือ Content Security Policy (CSP) ซึ่งตัวนโยบายนี้ที่บังคับใช้บน m365.cloud.microsoft จะทำการบล็อกรูปภาพที่มาจากโดเมนอื่น ๆ แต่ยอมรับรูปภาพที่มาจาก *.bing.com ซึ่งถ้าแฮกเกอร์ใช้งานฟีเจอร์ "Search by Image" เพื่อดึงข้อมูลรูปภาพไปวิเคราะห์บนเซิร์ฟเวอร์ของทางไมโครซอฟท์ ตัวนโยบาย CSP ก็จะไม่ทำงาน ทำให้สามารถใช้ Bing เป็นตัวแทนในการลอบส่งออกข้อมูล (Exfiltration Proxy) ได้ในปฏิบัติการนี้
โดยสรุปการปฏิบัติการครั้งนี้คือ เมื่อแฮกเกอร์หลอกให้เหยื่อกดลิงก์ที่ทำขึ้น ตัว Copilot ก็จะเริ่มทำการค้นหาข้อมูลที่กำหนดไว้บนลิงก์ จากนั้นตัว Copilot ก็จะทำการสร้างลิงก์ตอบกลับ (Response) ในรูปแบบ URL รูปภาพของ Bing เพื่อส่งกลับ ต่อมาเว็บเบราว์เซอร์ก็จะเรียกใช้งาน Bing ขึ้นมาระหว่างการสตรีม โดย Bing จะทำการดึง URL ของทางแฮกเกอร์ออกมา ให้แฮกเกอร์ได้อ่านข้อมูลที่ถูกบันทึกไว้ (Log) จาก URL นั้น เช่นจากคำขอสำหรับ /Your_Security_Code_847291/img.png เป็นต้น
ซึ่งข้อมูลสำคัญที่แฮกเกอร์สามารถขโมยด้วยการใช้วิธีนี้ได้นั้นก็ครอบคลุมข้อมูลหลากประเภทที่อยู่ภายในกล่องอีเมลของเหยื่อ เช่น รหัสผ่านที่ใช้งานครั้งเดียว (OTP หรือ One-Time Password), รหัสยืนยันตัวตนแบบหลายทาง (MFA หรือ Multi-Factors Authentication), และลิงก์สำหรับเปลี่ยนรหัสผ่าน (Password Reset) นอกจากนั้นยังสามารถเข้าถึงข้อมูลอื่น ๆ ที่ตัว Copilot สามารถเข้าถึงได้บน Microsoft 365 ได้ เช่น ลิงก์เชิญสำหรับปฏิทิน (Calendar Invite), บันทึกการประชุม, และข้อมูลอีกมากมาย เรียกว่าเป็นช่องโหว่ที่อันตรายมาก แม้จะมีคะแนนความร้ายแรงที่ค่อนข้างต่ำ
เขียนโดย Annonymus TN
ศัพท์ไวรัล “สลิ้งแตก” คืออะไร? เปิดความหมายและที่มาของคำฮิตบนโซเชียล
สถิติหวยออก ย้อนหลัง 10 ปี เลขท้าย 2 ตัว งวด 16 กรกฎาคม
เจาะลึกเลขเด่นสถิติหวยออกวันพฤหัสบดี และเลขศาสตร์กำลังวันกึ่งกลางปี งวดวันที่ 16 กรกฎาคม 2569
การจะรับลอตเตอรี่มาขายต้องทำอย่างไรบ้าง? พร้อมกฎหมายที่ผู้ค้าสลากควรรู้ในปี 2026
ราคารับซื้อปลาหมอคางดำล่าสุด ปี 2026 กิโลกรัมละเท่าไร? อัปเดตข้อมูลล่าสุด
เจาะลึกเลขอัญเชิญ "ท้าวเวสสุวรรณ" และศาสตร์เกณฑ์เลขมหาเทพผู้พิทักษ์ขุมทรัพย์ งวดวันที่ 16 กรกฎาคม 2569
10 รถจักรยานยนต์ยอดนิยมยุค 90 ที่คนไทยยังจำได้
ปรงภูเขา ไม้ดึกดำบรรพ์กลางป่า พืชโบราณที่ควรชมแต่ไม่ควรแตะ
เลข 67 คืออะไร ทำไมเด็กเจนใหม่พูดกันทุกวัน
5 ประเทศอาเซียนที่มีน้ำมันดิบสำรองมากที่สุด ประเทศไหนอยู่อันดับ 1
เจาะลึกเลขอัญเชิญ "หวยไทยรัฐ-เดลินิวส์" งวดวันที่ 16 กรกฎาคม 2569
ข้อระวังของผงชูรส รู้ไว้ก่อนใช้ เพื่อปรุงอาหารได้อย่างเหมาะสม
ราคารับซื้อปลาหมอคางดำล่าสุด ปี 2026 กิโลกรัมละเท่าไร? อัปเดตข้อมูลล่าสุด

