Dados do Microsoft 365 Copilot Expostos – Atingidos por Vulnerabilidade Zero-Click

Pesquisadores de segurança da Aim Security descobriram o “EchoLeak”, a primeira vulnerabilidade de inteligência artificial (IA) zero-click conhecida no Microsoft 365 Copilot que permitiu que atacantes siphonassem silenciosamente dados corporativos sensíveis simplesmente enviando um e-mail maliciosamente elaborado que não exigia interação do usuário, nenhum clique em links e nenhum download.

“Essa vulnerabilidade representa um avanço significativo na pesquisa de segurança em IA porque demonstra como os atacantes podem exfiltrar automaticamente as informações mais sensíveis do contexto do Microsoft 365 Copilot sem exigir qualquer interação do usuário”, disse Adir Gruss, co-fundador e CTO da Aim Security, ao descrever o ataque zero-click.

O que é EchoLeak?

Descoberto em janeiro de 2025 e divulgado após a correção da equipe MSRC da Microsoft em maio, o EchoLeak poderia ter permitido que atacantes exfiltrassem informações sensíveis do ambiente conectado do Microsoft 365 de um usuário, incluindo e-mails do Outlook, arquivos do OneDrive, documentos do Office, conteúdo do SharePoint e histórico de chat do Teams – simplesmente enviando um e-mail maliciosamente elaborado. Este e-mail contornaria várias salvaguardas de segurança e acionaria o Copilot para vazar dados internos que, de outra forma, manteria privados.

O que é ainda mais alarmante é que o atacante não precisa ser um funcionário da organização. Qualquer remetente externo poderia iniciar o ataque.

Em um post no blog na quarta-feira, a equipe do Aim Labs escreveu que o EchoLeak explorou um conceito que eles descreveram como uma “Violação de Escopo de Modelo de Linguagem Grande (LLM)”. Neste caso, um ator malicioso envia um e-mail com aparência inocente recheado com um prompt oculto disfarçado usando formatação markdown.

Quando um usuário pergunta ao Copilot uma pergunta relacionada, a IA recupera o e-mail de seu contexto e executa inconscientemente as instruções incorporadas, extraindo dados sensíveis de fontes internas como documentos, e-mails ou chats.

Então, o prompt do atacante instrui o Copilot a incorporar os dados extraídos dentro de uma imagem ou link. Isso faz com que o navegador busque automaticamente o recurso, muitas vezes através de domínios confiáveis da Microsoft, como SharePoint ou Teams, enviando instantaneamente as informações sensíveis para um servidor controlado pelo atacante, tudo enquanto permanece invisível para o usuário.

Como funciona a cadeia de ataque EchoLeak

Existem quatro estágios em que a cadeia de ataque funciona:

1. Bypass do XPIA

A Microsoft usa um sistema chamado XPIA (ataque de injeção de prompt cruzado) para detectar e bloquear prompts suspeitos de chegarem ao LLM subjacente do M365 Copilot. No entanto, a Aim Security descobriu que ataques de injeção de prompt poderiam facilmente contornar os classificadores do XPIA se formulados como orientações casuais para o destinatário do e-mail, evitando completamente palavras como IA/assistentes/Copilot, etc.

2. Bypass da Redação de Links

Normalmente, o Copilot redige links externos em markdown do histórico de chat antes que o usuário tenha qualquer chance de clicar nesses links.

Mas, usando truques, como links em markdown estilo referência, os atacantes evitam os filtros de redação do Copilot e não são removidos do chat pelo M365 Copilot. Esses links são então silenciosamente exfiltrados na saída do LLM.

3. Bypass da Redação de Imagens
** Para eliminar a necessidade de o usuário clicar em qualquer coisa, os atacantes usam markdown de imagem estilo referência. O navegador tenta “carregar” a imagem de um servidor controlado pelo atacante, que então aciona automaticamente a exfiltração de dados sem interação do usuário.

4. Bypass do CSP Usando SharePoint

Como a maioria dos domínios externos é bloqueada pela Política de Segurança de Conteúdo (CSP) da Microsoft, os pesquisadores direcionaram seu exploit através de serviços autorizados da Microsoft, como SharePoint e Microsoft Teams. Isso permitiu que o atacante exfiltrasse silenciosamente dados sensíveis do contexto do Copilot sem qualquer interação do usuário, detecção ou permissões de acesso adicionais.

Além da mecânica técnica, o exploit depende de uma tática que a Aim Labs chama de “RAG Spraying”, onde os atacantes aumentam sua taxa de sucesso inundando o sistema com um longo e-mail dividido em partes ou vários e-mails elaborados para corresponder a consultas prováveis dos usuários.

Uma vez que o Copilot recupera o conteúdo malicioso, ele inconscientemente segue as instruções do atacante para extrair os dados mais sensíveis de seu contexto interno e enviá-los para o domínio do atacante, tudo sem qualquer consciência do usuário.
Essa cadeia de exploits destaca falhas de design críticas em como assistentes de IA interagem com dados internos e interpretam entradas de usuários.

Resposta da Microsoft

A Microsoft atribuiu o CVE-2025-32711 à falha crítica zero-click com uma pontuação CVSS de 9.3 e aplicou uma correção do lado do servidor em maio de 2025, o que significa que não exigiu intervenção do usuário. O gigante de Redmond também observou que não há evidências de qualquer exploração no mundo real, e nenhum cliente é conhecido por ter sido afetado.

À luz da vulnerabilidade EchoLeak, os usuários e organizações são aconselhados a tomar várias medidas proativas para mitigar riscos potenciais. Isso inclui desabilitar o contexto de e-mail externo no Copilot para limitar fontes de dados não confiáveis, revisar e-mails recebidos em busca de prompts, implementar barreiras de proteção específicas para IA no nível do firewall para monitorar e bloquear comportamentos incomuns e restringir a renderização de markdown nas saídas de IA para evitar a exfiltração de dados através de links e imagens.