Esiste una falla di sicurezza avanzata in M365 Copilot, che permette a malintenzionati di estorcere informazioni sensibili dai tenant, come ad esempio email recenti, attraverso manovre di iniezione indiretta di comandi.

Un ricercatore di sicurezza, Adam Logue, ha dettagliatamente descritto una vulnerabilità in un articolo sul suo blog recentemente pubblicato. Questa vulnerabilità, grazie all’integrazione dell’assistente AI nei documenti Office e al supporto nativo per i diagrammi Mermaid, permette la fuoriuscita di dati con un solo clic iniziale dell’utente, senza richiedere ulteriori interazioni.

L’attacco inizia quando un utente chiede a M365 Copilot di riassumere un foglio di calcolo Excel creato appositamente. Istruzioni nascoste, incorporate in testo bianco su più fogli, utilizzano la modifica progressiva delle attività e comandi nidificati per dirottare il comportamento dell’IA.

I prompt indiretti sostituiscono l’attività di riepilogo, indicando a Copilot di richiamare il suo strumento search_enterprise_emails per recuperare le email aziendali recenti. Il contenuto recuperato viene quindi codificato in formato esadecimale e frammentato in righe brevi per aggirare i limiti di caratteri di Mermaid.

Copilot genera un diagramma Mermaid, uno strumento basato su JavaScript per creare diagrammi di flusso e diagrammi a partire da testo simile a Markdown che si spaccia per un “pulsante di accesso” protetto da un’emoji a forma di lucchetto.

Il diagramma include lo stile CSS per un aspetto convincente del pulsante e un collegamento ipertestuale che incorpora i dati e-mail codificati. Quando l’utente clicca sul link, credendo che sia necessario per accedere al contenuto “sensibile” del documento, questo reindirizza al server dell’aggressore. Il payload codificato in esadecimale viene trasmesso silenziosamente, dove può essere decodificato dai log del server.

Adam Logue ha notato delle somiglianze con un precedente exploit Mermaid in Cursor IDE, che consentiva l’esfiltrazione senza clic tramite immagini remote, sebbene M365 Copilot richiedesse l’interazione dell’utente.

Dopo approfonditi test, il payload è stato ispirato dalla ricerca TaskTracker di Microsoft sul rilevamento del “task drift” nei LLM. Nonostante le difficoltà iniziali nel riprodurre il problema, Microsoft ha convalidato la catena e l’ha corretta entro settembre 2025, rimuovendo i collegamenti ipertestuali interattivi dai diagrammi Mermaid renderizzati da Copilot.

La cronologia delle scoperte mostra che ci sono state difficoltà di coordinamento. Adam Logue ha riferito la situazione completa il 15 agosto 2025, dopo aver discusso con lo staff del Microsoft Security Response Center (MSRC) al DEFCON.

L'articolo Un grave bug in Microsoft 365 Copilot porta all’esfiltrazione dei dati tramite prompt proviene da Red Hot Cyber.

Unless you are over a certain age, you probably take it for granted that electronic gadgets you buy have some FCC marking on them. But it wasn’t always true. [Ernie] submits that the FCC’s regulation of the computer industry was indirectly the result of the success of CB radio in that same time period.

Today, there is a high chance you don’t watch TV directly over the airwaves or even consume audio from a traditional radio station. Even if you do, the signal is increasingly likely to be digital. But only analog radio and TV were highly susceptible to interference. When a professional radio station or the power company interfered with you watching I Love Lucy, you could count on them to resolve it. Even ham radio operators, a small segment of the population, would, in general, graciously help you if their transmissions interfered with your equipment.

Never mind that, in many cases, it was the cheap TV or some other problem on the receiving end. Then there was another source of potential interference: CB radio. At first, you were about as likely to encounter a CB operator as a ham radio operator. But then in the 1970s, CB exploded, becoming a cultural phenomenon, and you can hear what a state it was in by watching the contemporary TV report in the video below.

This explosion of operators who did nothing more than apply for a license (if they even bothered to do so) and bought their equipment at a local store had no idea how to help curb interference, even if they wanted to. In 1977, the AP reported that 83% of the FCC’s TV interference complaints involved CB radio.

Early computers were also very noisy on the radio bands. So much so that early attempts at computer audio output were simply modulating the radio frequency interference. Again, at first, this wasn’t a huge problem. But as computers became more common, so did computer-related interference, and the FCC didn’t want to deal with another CB radio-style explosion.

The rest is, as they say, history, and [Ernie] covers it all in the post. Getting a product approved by the FCC isn’t trivial, but if you have to do it, we have some advice.

youtube.com/embed/3O0Ak8NySbs?…

hackaday.com/2025/10/23/why-do…

The Unihiker K10 is intended to be a small single-board solution for light AI and machine learning tasks. However, you don’t have to use it in that way if you don’t want to. [mircemk] figured out how to repurpose the device, and whipped up a simple Internet clock build to demonstrate how it’s done.

While the Unihiker K10 is based on the common ESP32 microcontroller, out of the box, it isn’t compatible with standard Arduino libraries. However, [mircemk] had previously figured out how to get the K10 to play nice with the Arduino environment, building a simple light meter as a proof of concept. It just took a little tinkering to get everything playing nicely together, but soon enough, the TFT LCD and a light sensor were playing nicely with the K10 platform.

Moving forward, [mircemk] wanted to unlock more capability, so set about figuring out how to get WiFi and the onboard buttons working within the Arduino environment. A great way to test this was building a clock—the screen would show an analog clock face, the buttons would be used for control, and the WiFi would be used to query an NTP time server to keep it synced up and accurate.

It took a little work, particularly as the buttons are accessed through an external I/O expansion chip, but [mircemk] got there in the end. The clock may not be a particularly advanced project, but the write-up demonstrates how the K10 can readily be used with Arduino libraries for when you’re not interested in leveraging its fancier AI/ML capabilities.

We’ve seen a few good builds from [mircemk] before, too, like this neat proximity sensor.

youtube.com/embed/ERkO8fwU9LM?…

hackaday.com/2025/10/23/making…

La Russia sta preparando una nuova versione di un disegno di legge che legalizza gli hacker “white hat”. Due fonti di agenzie governative e del settore della sicurezza informatica hanno riferito a RBC che il documento ha già superato la fase di approvazione principale ed è in preparazione per la presentazione alla Duma di Stato.

L’iniziativa prevede la creazione di un sistema unificato di regolamentazione governativa per tutti i tipi di attività di ricerca relative al rilevamento delle vulnerabilità. Il progetto coinvolgerà gli specialisti ingaggiati dalle aziende per testare i loro sistemi informativi, sia direttamente che tramite piattaforme di bug bounty, dove vengono pagate ricompense per errori e vulnerabilità scoperti.

La nuova versione del disegno di legge introduce il concetto di “evento di ricerca di vulnerabilità”. Come spiegato dalle fonti di RBC, questo “potrebbe comprendere tutte le forme di ricerca di vulnerabilità, cancellando le distinzioni esistenti nel settore”. Ciò include sia i programmi commerciali di bug bounty condotti tramite piattaforme specializzate, sia gli audit interni, in cui i dipendenti dell’azienda ricercano vulnerabilità. Questa categoria include anche la ricerca indipendente, in cui specialisti testano il software in modo indipendente, e i penetration test condotti nell’ambito di contratti ufficiali tra organizzazioni.

Si propone di delegare la regolamentazione di tutte queste attività alle forze dell’ordine: l’FSB, l’FSTEC e il Centro Nazionale di Coordinamento per gli Incidenti Informatici. Queste potrebbero essere autorizzate a stabilire requisiti obbligatori per le aree chiave della ricerca di vulnerabilità, indipendentemente dal fatto che i programmi siano commerciali, per uso interno o correlati ad aziende o enti governativi critici.

Ciò include l’identificazione e la verifica obbligatorie degli hacker “white hat”; norme per l’accreditamento e il funzionamento delle organizzazioni che conducono ricerche di vulnerabilità; norme che disciplinano l’elaborazione e la protezione dei dati sulle vulnerabilità identificate; regolamenti su come le informazioni sulle vulnerabilità debbano essere comunicate al proprietario delle risorse e agli enti governativi, e altro ancora.

Si prevede che gli elenchi degli operatori accreditati saranno pubblicati sui siti web ufficiali delle forze dell’ordine. Sarà vietato organizzare eventi al di fuori delle sedi accreditate o in violazione delle norme stabilite. Inoltre, si propone che chiunque scopra una vulnerabilità sia tenuto a segnalarla non solo al proprietario del software, ma anche alle forze dell’ordine.

Il progetto propone modifiche all’articolo 274 del Codice penale russo, che classificherebbero come reato il “trasferimento illegale di vulnerabilità”, ovvero il trasferimento di informazioni in violazione delle norme stabilite. Secondo alcune fonti, si starebbe valutando anche la possibilità di creare un registro statale degli hacker “white hat”.

Il Ministero dello Sviluppo Digitale, delle Comunicazioni e dei Mass Media ha confermato il suo coinvolgimento nella finalizzazione dell’iniziativa. Un portavoce del Ministero ha dichiarato che “il Ministero sta dialogando con l’industria e i colleghi della Duma di Stato su questo disegno di legge”, osservando che non sono ancora pervenute proposte per la creazione di un registro. Ha aggiunto che il progetto mira a legalizzare le attività degli hacker “white hat” per prevenire potenziali conseguenze negative per il loro lavoro. Prima che la legge venga adottata e firmata dal Presidente, il documento potrebbe essere modificato per riflettere il contributo dell’industria e delle agenzie interessate.

Gli esperti intervistati da RBC definiscono la nuova versione dell’iniziativa più rigorosa e sottolineano i rischi della deanonimizzazione obbligatoria degli specialisti. Affermano che la creazione di un registro degli hacker “white hat” e la condivisione dei dati con le forze dell’ordine potrebbero portare a fughe di notizie, minacce alla sicurezza dei ricercatori e un esodo dei partecipanti dai programmi di bug bounty. Alcuni esperti avvertono che aziende e ricercatori indipendenti, temendo le conseguenze, potrebbero ritirarsi nella “zona grigia” e condurre test in modo non ufficiale.

L'articolo La Russia legalizza gli hacker white hat con una nuova legge in arrivo proviene da Red Hot Cyber.

Piraten Podcast 3 (22 okt 2025): De geschiedenis van de partij, de geschiedenis van PiratenDeze Piraten Podcast werd opgenomen in HAN Nijmegen Met David, Arjan, en Roberto!en dank aan: Sabrina, Leontien en Bart.

Het bericht Piraten Podcast 3: De geschiedenis van de partij verscheen eerst op Piratenpartij.