Datos expuestos de Microsoft 365 Copilot – Afectado por vulnerabilidad de cero clics

Los investigadores de seguridad de Aim Security descubrieron “EchoLeak”, la primera vulnerabilidad de inteligencia artificial (IA) de cero clics conocida en Microsoft 365 Copilot que permitió a los atacantes extraer silenciosamente datos corporativos sensibles simplemente enviando un correo electrónico maliciosamente elaborado que no requería interacción del usuario, ni clics en enlaces, ni descargas.

“Esta vulnerabilidad representa un avance significativo en la investigación de seguridad de IA porque demuestra cómo los atacantes pueden exfiltrar automáticamente la información más sensible del contexto de Microsoft 365 Copilot sin requerir ninguna interacción del usuario en absoluto”, dijo Adir Gruss, cofundador y CTO de Aim Security, mientras describía el ataque de cero clics.

¿Qué es EchoLeak?

Descubierto en enero de 2025 y divulgado después de la corrección del equipo MSRC de Microsoft en mayo, EchoLeak podría haber permitido a los atacantes exfiltrar información sensible del entorno conectado de Microsoft 365 de un usuario, incluidos correos electrónicos de Outlook, archivos de OneDrive, documentos de Office, contenido de SharePoint e historial de chats de Teams, simplemente enviando un correo electrónico maliciosamente elaborado. Este correo electrónico eludiría múltiples salvaguardias de seguridad y haría que Copilot filtrara datos internos que de otro modo mantendría en privado.

Lo que es aún más alarmante es que el atacante no necesita ser un empleado de la organización. Cualquier remitente externo podría iniciar el ataque.

En una publicación de blog el miércoles, el equipo de Aim Labs escribió que EchoLeak explotó un concepto que describieron como una “Violación del Alcance del Modelo de Lenguaje Grande (LLM)”. En este caso, un actor malicioso envía un correo electrónico de apariencia inocente cargado con un aviso oculto disfrazado utilizando formato markdown.

Cuando un usuario más tarde le pregunta a Copilot una pregunta relacionada, la IA recupera el correo electrónico de su contexto y ejecuta sin saber las instrucciones incrustadas, extrayendo datos sensibles de fuentes internas como documentos, correos electrónicos o chats.

Luego, el aviso del atacante instruye a Copilot para incrustar los datos extraídos dentro de una imagen o enlace. Esto hace que el navegador obtenga automáticamente el recurso, a menudo a través de dominios de Microsoft de confianza como SharePoint o Teams, enviando instantáneamente la información sensible a un servidor controlado por el atacante, todo mientras permanece invisible para el usuario.

Cómo funciona la cadena de ataque EchoLeak

Hay cuatro etapas en las que funciona la cadena de ataque:

1. Bypass de XPIA

Microsoft utiliza un sistema llamado XPIA (ataque de inyección de aviso cruzado) para detectar y bloquear avisos sospechosos antes de que lleguen al LLM subyacente de M365 Copilot. Sin embargo, Aim Security descubrió que los ataques de inyección de aviso podrían eludir fácilmente los clasificadores de XPIA si se expresaban como orientación casual para el destinatario del correo electrónico evitando completamente palabras como IA/asistentes/Copilot, etc.

2. Bypass de Redacción de Enlaces

Normalmente, Copilot redacta enlaces markdown externos del historial de chat antes de que el usuario tenga alguna oportunidad de hacer clic en esos enlaces.

Pero utilizando trucos, como enlaces markdown de estilo referencia, los atacantes evaden los filtros de redacción de Copilot y no son eliminados del chat por M365 Copilot. Estos enlaces son luego exfiltrados silenciosamente en la salida del LLM.

3. Bypass de Redacción de Imágenes
Para eliminar la necesidad de que el usuario haga clic en algo, los atacantes utilizan markdown de imagen de estilo referencia. El navegador intenta “cargar” la imagen desde un servidor controlado por el atacante, lo que luego desencadena automáticamente la exfiltración de datos sin interacción del usuario.

4. CSP Bypass Usando SharePoint

Dado que la mayoría de los dominios externos están bloqueados por la Política de Seguridad de Contenido (CSP) de Microsoft, los investigadores enrutaron su exploit a través de servicios autorizados de Microsoft como SharePoint y Microsoft Teams. Esto permitió al atacante exfiltrar silenciosamente datos contextuales sensibles de Copilot sin ninguna interacción del usuario, detección o permisos de acceso adicionales.

Más allá de la mecánica técnica, el exploit se basa en una táctica que Aim Labs llama “RAG Spraying”, donde los atacantes aumentan su tasa de éxito inundando el sistema con un correo electrónico largo dividido en fragmentos o múltiples correos electrónicos elaborados para coincidir con las consultas de usuario probables.

Una vez que Copilot recupera el contenido malicioso, sigue sin saber las instrucciones del atacante para extraer los datos más sensibles de su contexto interno y enviarlos al dominio del atacante, todo sin que el usuario sea consciente.
Esta cadena de explotación destaca fallas de diseño críticas en cómo los asistentes de IA interactúan con datos internos e interpretan las entradas del usuario.

Respuesta de Microsoft

Microsoft asignó CVE-2025-32711 a la crítica falla de cero clics con una puntuación CVSS de 9.3, y aplicó una corrección del lado del servidor en mayo de 2025, lo que significa que no requirió intervención del usuario. El gigante de Redmond también señaló que no hay evidencia de ninguna explotación en el mundo real, y no se conoce que ningún cliente haya sido afectado.

A la luz de la vulnerabilidad EchoLeak, se aconseja a los usuarios y organizaciones que tomen varias medidas proactivas para mitigar riesgos potenciales. Estas incluyen deshabilitar el contexto de correo electrónico externo en Copilot para limitar fuentes de datos no confiables, revisar correos electrónicos entrantes en busca de avisos, implementar barandillas de ejecución específicas de IA a nivel de firewall para monitorear y bloquear comportamientos inusuales, y restringir el renderizado de markdown en las salidas de IA para prevenir la exfiltración de datos a través de enlaces e imágenes.