Terungkap, peretas dapat mengeksploitasi kerentanan Microsoft Copilot untuk serangan siber

13/08/2024, 23:05 WIB Yani Andriansyah
Terungkap, peretas dapat mengeksploitasi kerentanan Microsoft Copilot untuk serangan siber

foto: freepik/frolopiaton palm

Techno.id - CTO perusahaan keamanan AI Zenity, Michael Bargury, telah mengungkap kerentanan keamanan utama dalam Microsoft Copilot. Seperti dilaporkan petri.com, ia menunjukkan bagaimana penjahat dunia maya dapat mengeksploitasi kelemahan ini untuk membahayakan keamanan organisasi. 

Temuan Bargury menunjukkan potensi pelaku ancaman dengan memanfaatkan kelemahan Copilot untuk meluncurkan serangan yang ditargetkan. Pekan lalu, Bargury menyoroti kelemahan keamanan di Microsoft Copilot selama dua sesi di konferensi keamanan Black Hat di Las Vegas.

You May Know

Dalam presentasi pertamanya, ia menjelaskan bagaimana pengembang yang menggunakan Copilot Studio secara tidak sengaja dapat membuat chatbot perusahaan khusus yang mampu mengeksfiltrasi data atau melewati langkah-langkah keamanan. Sesi kedua, berjudul “Living off Microsoft Copilot” ia berfokus pada risiko chatbot Copilot, seperti prompt injection (injeksi cepat).

Bargury meluncurkan alat LOLCopilot baru untuk Microsoft Copilot, Copilot Studio, dan Power Platform. Alat yang dinamakan Red Team ini memungkinkan peretas mengubah konfigurasi Copilot default menggunakan injeksi cepat. Alat ini memungkinkan mereka untuk langsung menyuntikkan petunjuk ke chatbot Copilot, melewati langkah-langkah keamanan bawaan untuk memodifikasi parameter dan instruksi dalam model.

Dalam presentasi Black Hat-nya, Bargury mendemonstrasikan bagaimana penyerang dapat memanipulasi Copilot untuk mengubah informasi perbankan dan mencuri uang dari rekening korban. Selain itu, peretas dapat mengakses informasi terbatas tentang panggilan pendapatan yang akan datang untuk suatu organisasi. Penyerang juga dapat mengubah Copilot menjadi orang dalam yang jahat untuk mengarahkan pengguna ke situs web phishing dan mencuri kredensial.

Bargury juga menyebutkan bahwa dia berkolaborasi dengan Red Team Microsoft untuk mengatasi masalah mendasar ini. Dia menyarankan agar organisasi memantau percakapan Copilot dan melacak potensi prompt injection untuk mengurangi ancaman keamanan. Microsoft pun menghargai temuan Zenity dan menegaskan kembali komitmennya untuk melindungi pelanggan Copilot dari serangan siber.

(brl/red)

RECOMMENDED ARTICLE

  1. Waspada! Penipuan melalui Google Maps dan begini cara menghindarinya
  2. Apa itu extortionware dan apa bedanya dengan ransomware? Begini penjelasan dan cara mengantisipasinya
  3. Waspada! Jangan membuka email perbaikan CrowdStrike, semuanya palsu
  4. Serangan siber semakin mengintai, begini cara menjaga keamanan data informasi
  5. Pelajaran dari serangan ransomware di Pusat Data Nasional, pentingnya backup data secara teratur

HOW TO

TECHTAGS

TECHPEDIA

LATEST ARTICLE

Penjelasan mengapa port USB punya banyak warna, format terbaru di 2025 punya kecepatan 80 Gbps
Penjelasan mengapa port USB punya banyak warna, format terbaru di 2025 punya kecepatan 80 Gbps
10 Alasan dan solusi laptop gampang lag dan panas di 2025, baru beli tapi kok lemot?
10 Alasan dan solusi laptop gampang lag dan panas di 2025, baru beli tapi kok lemot?
Cara mengaktifkan kembali akun Facebook dan WA yang terblokir, ini teknik terbarunya di 2025
Cara mengaktifkan kembali akun Facebook dan WA yang terblokir, ini teknik terbarunya di 2025
11 Aplikasi cek spesifikasi HP Android, akurat & mudah dipakai tanpa ribet terbaru di 2025
11 Aplikasi cek spesifikasi HP Android, akurat & mudah dipakai tanpa ribet terbaru di 2025
Cara buat wallpaper bergerak di laptop & komputer terbaru 2025, gampang dan pakai AI lebih cepat
Cara buat wallpaper bergerak di laptop & komputer terbaru 2025, gampang dan pakai AI lebih cepat

TECHPEDIA Selengkapnya >