Zero-Click no Microsoft 365 Copilot
12 de Junho de 2025

Uma nova técnica de ataque, batizada de EchoLeak, foi caracterizada como uma vulnerabilidade de inteligência artificial (AI) "zero-click" que permite a atores mal-intencionados exfiltrar dados sensíveis do contexto do Microsoft 365 Copilot sem qualquer interação do usuário.

A vulnerabilidade, classificada como crítica, recebeu o identificador CVE CVE-2025-32711 (pontuação CVSS: 9.3).

Não é necessária nenhuma ação por parte do cliente, e a Microsoft já tratou do problema.

Não há evidências de que a falha tenha sido explorada de forma maliciosa.

"Uma injeção de comando AI no M365 Copilot permite que um atacante não autorizado divulgue informações por uma rede," disse a companhia em um comunicado de segurança divulgado na quarta-feira(11).

Desde então, foi adicionado à lista de correções do Microsoft's Patch Tuesday de junho de 2025, elevando o número total de falhas corrigidas para 68.

A Aim Security, que descobriu e reportou a questão, disse que é um exemplo de violação de escopo de modelo de linguagem de grande porte (LLM) que abre caminho para a injeção indireta de prompts, levando a um comportamento não intencional.

A violação de escopo do LLM ocorre quando instruções de um atacante, embutidas em conteúdo não confiável, por exemplo, um email enviado de fora de uma organização, conseguem enganar o sistema de AI para acessar e processar dados internos privilegiados sem a intenção explícita ou interação do usuário.

"As cadeias permitem que os atacantes exfiltrem automaticamente informações sensíveis e proprietárias do contexto M365 Copilot, sem o conhecimento do usuário, ou dependendo de qualquer comportamento específico da vítima," disse a empresa de cibersegurança israelense.

O resultado é alcançado apesar da interface do M365 Copilot estar aberta apenas para os funcionários da organização.

A sequência do ataque se desdobra da seguinte forma:

Injeção: Atacante envia um email de aparência inocente para a caixa de entrada do Outlook de um funcionário, que inclui o exploit de violação de escopo do LLM.

O usuário faz uma pergunta relacionada aos negócios para o Microsoft 365 Copilot (por exemplo, resumir e analisar seu relatório de ganhos).

Violação de Escopo: Copilot mistura entrada atacada não confiável com dados sensíveis no contexto do LLM pelo motor Retrieval-Augmented Generation (RAG).
Recuperação: Copilot vaza os dados sensíveis para o atacante via URLs do Microsoft Teams e SharePoint.

"Como uma vulnerabilidade AI zero-click, EchoLeak abre amplas oportunidades para ataques de exfiltração de dados e extorsão para atores de ameaças motivados," disse a Aim Security.

Em um mundo agente em constante evolução, isso evidencia os riscos potenciais inerentes ao design de agentes e chatbots.

A descoberta vem à medida que a CyberArk revelou um ataque de envenenamento de ferramenta (TPA) que afeta o padrão do Protocolo de Contexto de Modelo (MCP) e vai além da descrição da ferramenta para estendê-lo através do esquema de ferramenta inteiro.

A técnica de ataque foi codinomeada Envenenamento de Esquema Completo (FSP).

Dado que o MCP possibilita que agentes AI (ou assistentes) interajam com várias ferramentas, serviços e fontes de dados de maneira consistente, qualquer vulnerabilidade na arquitetura cliente-servidor do MCP poderia representar sérios riscos de segurança, incluindo manipular um agente para vazar dados ou executar código malicioso.

Para mitigar a ameaça de tais ataques, é aconselhado impor autenticação nos Servidores MCP e validar o cabeçalho "Origin" em todas as conexões recebidas pelo servidor MCP para garantir que as requisições venham de fontes confiáveis.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...