ช่องโหว่ด้านความปลอดภัยใน Microsoft 365 Copilot ทำให้ผู้ช่วย AI สรุปอีเมลที่ได้รับการป้องกันด้วย Sensitivity Labels ได้อย่างไม่ถูกต้อง ซึ่งเป็นการหลีกเลี่ยงนโยบาย Data Loss Prevention (DLP) ที่กำหนดไว้ ส่งผลให้ข้อมูลองค์กรที่อาจเป็นความลับถูกประมวลผลโดย AI โดยไม่ได้รับอนุญาต ปัญหานี้ถูกติดตามภายใต้รหัส Microsoft CW1226324 และยังคงดำเนินอยู่ โดยมีสาเหตุมาจากข้อบกพร่องระดับโค้ดที่ทำให้ Copilot เข้าถึงรายการในโฟลเดอร์ Sent Items และ Draft ของผู้ใช้ได้โดยไม่สนใจ Sensitivity Labels ที่ใช้
Severity: สูง
System Impact:
- Microsoft 365 Copilot (Work Tab Chat feature)
- Microsoft Exchange Online (Sent Items and Draft folders)
- Data Loss Prevention (DLP) policies
Technical Attack Steps:
- A code-level defect in Microsoft 365 Copilot is the root cause.
- The flaw allows Copilot to inadvertently access and pick up email items stored in users’ Sent Items and Draft folders.
- This access bypasses the confidentiality sensitivity labels that are explicitly applied to these email messages.
- Consequently, configured Data Loss Prevention (DLP) policies, which should restrict processing of such sensitive data, are rendered non-functional for these affected email folders.
- The AI assistant then proceeds to summarize this restricted content within its chat features, exposing potentially sensitive organizational data.
Recommendations:
Short Term:
- Monitor the Microsoft 365 admin center for updates regarding reference CW1226324.
- Review Copilot activity logs for any anomalous access to labeled content.
- Consider temporarily restricting Copilot access in environments handling highly sensitive email communications until the fix is fully deployed.
Long Term:
- Ensure all Microsoft 365 services and components, including Copilot, are updated promptly once Microsoft releases the official fix.
- Regularly audit and validate the effectiveness of DLP policies and sensitivity labels across all data interaction points, especially with new AI integrations.
- Stay informed on Microsoft’s remediation timeline and security advisories for emerging threats or vulnerabilities related to AI tools.
Source: https://cybersecuritynews.com/microsoft-365-copilot-bug/
Share this content: