Uma nova técnica de ataque, batizada de EchoLeak, foi caracterizada como uma vulnerabilidade de inteligência artificial (AI) "zero-click" que permite a atores mal-intencionados exfiltrar dados sensíveis do contexto do Microsoft 365 Copilot sem qualquer interação do usuário.
A vulnerabilidade, classificada como crítica, recebeu o identificador CVE
CVE-2025-32711
(pontuação CVSS: 9.3).
Não é necessária nenhuma ação por parte do cliente, e a Microsoft já tratou do problema.
Não há evidências de que a falha tenha sido explorada de forma maliciosa.
"Uma injeção de comando AI no M365 Copilot permite que um atacante não autorizado divulgue informações por uma rede," disse a companhia em um comunicado de segurança divulgado na quarta-feira(11).
Desde então, foi adicionado à lista de correções do Microsoft's Patch Tuesday de junho de 2025, elevando o número total de falhas corrigidas para 68.
A Aim Security, que descobriu e reportou a questão, disse que é um exemplo de violação de escopo de modelo de linguagem de grande porte (LLM) que abre caminho para a injeção indireta de prompts, levando a um comportamento não intencional.
A violação de escopo do LLM ocorre quando instruções de um atacante, embutidas em conteúdo não confiável, por exemplo, um email enviado de fora de uma organização, conseguem enganar o sistema de AI para acessar e processar dados internos privilegiados sem a intenção explícita ou interação do usuário.
"As cadeias permitem que os atacantes exfiltrem automaticamente informações sensíveis e proprietárias do contexto M365 Copilot, sem o conhecimento do usuário, ou dependendo de qualquer comportamento específico da vítima," disse a empresa de cibersegurança israelense.
O resultado é alcançado apesar da interface do M365 Copilot estar aberta apenas para os funcionários da organização.
A sequência do ataque se desdobra da seguinte forma:
Injeção: Atacante envia um email de aparência inocente para a caixa de entrada do Outlook de um funcionário, que inclui o exploit de violação de escopo do LLM.
O usuário faz uma pergunta relacionada aos negócios para o Microsoft 365 Copilot (por exemplo, resumir e analisar seu relatório de ganhos).
Violação de Escopo: Copilot mistura entrada atacada não confiável com dados sensíveis no contexto do LLM pelo motor Retrieval-Augmented Generation (RAG).
Recuperação: Copilot vaza os dados sensíveis para o atacante via URLs do Microsoft Teams e SharePoint.
"Como uma vulnerabilidade AI zero-click, EchoLeak abre amplas oportunidades para ataques de exfiltração de dados e extorsão para atores de ameaças motivados," disse a Aim Security.
Em um mundo agente em constante evolução, isso evidencia os riscos potenciais inerentes ao design de agentes e chatbots.
A descoberta vem à medida que a CyberArk revelou um ataque de envenenamento de ferramenta (TPA) que afeta o padrão do Protocolo de Contexto de Modelo (MCP) e vai além da descrição da ferramenta para estendê-lo através do esquema de ferramenta inteiro.
A técnica de ataque foi codinomeada Envenenamento de Esquema Completo (FSP).
Dado que o MCP possibilita que agentes AI (ou assistentes) interajam com várias ferramentas, serviços e fontes de dados de maneira consistente, qualquer vulnerabilidade na arquitetura cliente-servidor do MCP poderia representar sérios riscos de segurança, incluindo manipular um agente para vazar dados ou executar código malicioso.
Para mitigar a ameaça de tais ataques, é aconselhado impor autenticação nos Servidores MCP e validar o cabeçalho "Origin" em todas as conexões recebidas pelo servidor MCP para garantir que as requisições venham de fontes confiáveis.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...