Dataeksfiltrering ved hjelp av svakhet i Microsoft 365 Copilot. Svakheter i Produkter fra Cisco. Verktøy fra overvåkingsindustrien spres til andre aktører.
Dataeksfiltrering ved hjelp av svakhet i Microsoft 365 Copilot
Det er nylig oppdaget en sårbarhet i Microsoft 365 Copilot. Sårbarheten utnytter en kombinasjon av avanserte angrepsmetoder; "prompt-injection", automatisk oppstart av verktøy og "ASCII-smugling". Angrepet begynner ved at en angriper sender en ondsinnet e-post som ineholder skjulte AI-instruksjoner. Når Copilot analyserer e-posten vil Copiloten bli tatt over av instruksjonene, og begynne å utføre angriperens ønskede kommandoer. Det er blant annet vist hvordan instruksjonene kan søke etter sensitive e-poster eller dokumenter, og skjule denne informasjonen i skjulte Unicode-tegn i en hyperlenke. Brukeren blir deretter lurt til å klikke på lenken, som sender den stjålne dataene til angriperen. Sårbarheten utgjør en betydelig risiko for lekkasje av informasjon, og det er blitt anbefalte flere tiltak for å motvirke slike angrep. Microsoft påstår de har adressert sårbarheten, selv om de nøyaktige detaljene rundt løsningen ikke er offentliggjort.
Svakheter i Produkter fra Cisco
JustisCERT varsler om sårbarheter i Produkter fra Cisco. Totalt 9 CVE (6 bulletiner) ble publisert av Cisco den 28.08.2024, hvor 1 er kategorisert som alvorlig (CVE-2024-20446 med CVSS-score 8.6) og 8 som viktig med CVSS-score 4.3 - 6.7. Den alvorlige sårbarheten berører Cisco Nexus 3000, 7000 og 9000 Series Switches i standalone NX-OS mode, dersom de benytter en bestemt type konfigurasjon. Cisco har publisert oppdateringer til støttede produkter.
Verktøy fra overvåkingsindustrien spres til andre aktører
Google's Threat Analysis Group (TAG) har avdekket at statlig støttede aktører og kommersielle overvåkningsleverandører gjentatte ganger har benyttet seg av de samme sårbarhetene for å kompromittere mobile enheter.
En undersøkelse av en overvåkningskampanje rettet mot brukere i Mongolia, har avslørt at den russiske statsstøttede trusselaktøren APT29 har infisert to nettsteder for å distribuere overvåkingsprogramvare. Denne er designet for å stjele informasjonskapsler (cookies) fra nettlesere ved hjelp av svakheter i både iPhone- og Android-enheter. Google-analytikerne oppdaget at sårbarhetene som har blitt brukt har vært identiske eller påfallende like de som tidligere har blitt benyttet av kommersielle overvåkningsleverandører som Intellexa og NSO Group. Disse selskapene er kjent for å utvikle spyware som Predator og Pegasus, som har blitt brukt av myndigheter for å overvåke dissidenter og menneskerettighetsaktivister.
Selv om det er uklart hvordan APT29 har fått tilgang til sårbarhetene, understreker funnene risikoen for at angrepsteknikkene fra den kommersielle spyware-industrien sprer seg til andre ondinnede aktører.
