Dati di Microsoft 365 Copilot Esposti – Colpiti da Vulnerabilità Zero-Click

I ricercatori di sicurezza di Aim Security hanno scoperto “EchoLeak”, la prima vulnerabilità di intelligenza artificiale (AI) zero-click nota in Microsoft 365 Copilot che ha permesso agli attaccanti di sottrarre silenziosamente dati aziendali sensibili semplicemente inviando un’email malevolmente elaborata che non richiedeva alcuna interazione da parte dell’utente, nessun clic su link e nessun download.

“Questa vulnerabilità rappresenta un significativo passo avanti nella ricerca sulla sicurezza dell’AI perché dimostra come gli attaccanti possano esfiltrare automaticamente le informazioni più sensibili dal contesto di Microsoft 365 Copilot senza richiedere alcuna interazione da parte dell’utente”, ha dichiarato Adir Gruss, co-fondatore e CTO di Aim Security, descrivendo l’attacco zero-click.

Cos’è EchoLeak?

Scoperto a gennaio 2025 e divulgato dopo la correzione del team MSRC di Microsoft a maggio, EchoLeak avrebbe potuto consentire agli attaccanti di esfiltrare informazioni sensibili dall’ambiente Microsoft 365 connesso di un utente, comprese email di Outlook, file di OneDrive, documenti di Office, contenuti di SharePoint e cronologia delle chat di Teams, semplicemente inviando un’email malevolmente elaborata. Questa email avrebbe eluso molteplici misure di sicurezza e avrebbe attivato Copilot per rivelare dati interni che altrimenti avrebbe mantenuto privati.

Ciò che è ancora più allarmante è che l’attaccante non deve essere un dipendente dell’organizzazione. Qualsiasi mittente esterno potrebbe avviare l’attacco.

In un post sul blog di mercoledì, il team di Aim Labs ha scritto che EchoLeak ha sfruttato un concetto che hanno descritto come una “Violazione dell’Intervallo del Modello di Linguaggio Ampio (LLM)”. In questo caso, un attore malevolo invia un’email dall’aspetto innocente contenente un prompt nascosto mascherato utilizzando la formattazione markdown.

Quando un utente successivamente chiede a Copilot una domanda correlata, l’AI recupera l’email dal suo contesto ed esegue inconsapevolmente le istruzioni incorporate, estraendo dati sensibili da fonti interne come documenti, email o chat.

Poi, il prompt dell’attaccante istruisce Copilot a incorporare i dati estratti all’interno di un’immagine o di un link. Questo fa sì che il browser recuperi automaticamente la risorsa, spesso attraverso domini Microsoft fidati come SharePoint o Teams, inviando istantaneamente le informazioni sensibili a un server controllato dall’attaccante, il tutto rimanendo invisibile per l’utente.

Come Funziona la Catena di Attacco EchoLeak

Ci sono quattro fasi in cui funziona la catena di attacco:

1. Bypass di XPIA

Microsoft utilizza un sistema chiamato XPIA (cross-prompt injection attack) per rilevare e bloccare prompt sospetti prima che raggiungano il LLM sottostante di M365 Copilot. Tuttavia, Aim Security ha scoperto che gli attacchi di iniezione di prompt potrebbero facilmente eludere i classificatori XPIA se formulati come indicazioni informali per il destinatario dell’email evitando completamente parole come AI/assistenti/Copilot, ecc.

2. Bypass della Redazione dei Link

Normalmente, Copilot redige i link markdown esterni dalla cronologia delle chat prima che l’utente abbia la possibilità di cliccare su quei link.

Ma utilizzando trucchi, come i link markdown in stile riferimento, gli attaccanti eludono i filtri di redazione di Copilot e non vengono rimossi dalla chat da M365 Copilot. Questi link vengono quindi silenziosamente esfiltrati nell’output del LLM.

3. Bypass della Redazione delle Immagini

Per eliminare la necessità che l’utente clicchi su qualcosa, gli attaccanti utilizzano immagini markdown in stile riferimento. Il browser cerca di “caricare” l’immagine da un server controllato dall’attaccante, il che attiva automaticamente l’esfiltrazione dei dati senza interazione dell’utente.

4. Bypass di CSP Utilizzando SharePoint

Poiché la maggior parte dei domini esterni è bloccata dalla Content-Security Policy (CSP) di Microsoft, i ricercatori hanno instradato il loro exploit attraverso servizi Microsoft autorizzati come SharePoint e Microsoft Teams. Questo ha consentito all’attaccante di esfiltrare silenziosamente dati sensibili dal contesto di Copilot senza alcuna interazione dell’utente, rilevamento o ulteriori permessi di accesso.

Oltre alla meccanica tecnica, l’exploit si basa su una tattica che Aim Labs chiama “RAG Spraying”, in cui gli attaccanti aumentano il loro tasso di successo inondando il sistema con una lunga email suddivisa in parti o più email elaborate per corrispondere a probabili query degli utenti.

Una volta che Copilot recupera il contenuto malevolo, segue inconsapevolmente le istruzioni dell’attaccante per estrarre i dati più sensibili dal suo contesto interno e inviarli al dominio dell’attaccante, il tutto senza alcuna consapevolezza da parte dell’utente. Questa catena di exploit evidenzia gravi difetti di progettazione nel modo in cui gli assistenti AI interagiscono con i dati interni e interpretano gli input degli utenti.

Risposta di Microsoft

Microsoft ha assegnato CVE-2025-32711 alla grave vulnerabilità zero-click con un punteggio CVSS di 9.3 e ha applicato una correzione lato server a maggio 2025, il che significa che non ha richiesto alcun intervento da parte dell’utente. Il gigante di Redmond ha anche notato che non ci sono prove di sfruttamenti nel mondo reale e non si conoscono clienti colpiti.

Alla luce della vulnerabilità EchoLeak, gli utenti e le organizzazioni sono invitati a intraprendere diversi passi proattivi per mitigare i potenziali rischi. Questi includono disabilitare il contesto delle email esterne in Copilot per limitare le fonti di dati non affidabili, rivedere le email in arrivo per i prompt, implementare guardrail specifici per l’AI a livello di firewall per monitorare e bloccare comportamenti insoliti e limitare il rendering markdown nelle uscite dell’AI per prevenire l’esfiltrazione dei dati attraverso link e immagini.