Microsoft Copilot Cowork Exfiltrates Files
L'article montre qu'une injection de prompt indirecte dans une skill de Copilot Cowork peut permettre d'exfiltrer des fichiers depuis Microsoft 365 en profitant du fait que l'envoi de messages à l'utilisateur actif ne demande pas d'approbation humaine. La technique consiste à faire générer par l'agent des messages Teams ou Outlook contenant des balises image pointant vers un site contrôlé par l'attaquant, lesquelles déclenchent des requêtes externes et transmettent des liens de téléchargement pré-authentifiés pour les fichiers accessibles. Les skills sont automatiquement chargées depuis un chemin OneDrive et les injections peuvent provenir de fichiers trouvés en ligne ou d'autres sources, ce qui limite la visibilité des administrateurs, et une vulnérabilité distincte permettant une sortie de données depuis le sandbox a été signalée à Microsoft. Les tests ont montré un taux de réussite élevé et reproductible contre des modèles récents comme Claude Opus 4.7 et Sonnet 4.6, même avec un petit extrait malveillant au sein d'une skill et avec la sélection de modèle en mode automatique. Pour atténuer le risque, il est recommandé de restreindre les permissions Microsoft Graph, de bloquer les téléchargements depuis SharePoint via Set-SPOSite ou Set-Label et de limiter l'utilisation de tâches planifiées qui exécutent des prompts sans supervision.