Hasta hace poco, Microsoft 365 Copilot era vulnerable a un método de ataque
que podría haber sido aprovechado por actores de amenazas para obtener
información confidencial, según
informó el miércoles la firma de seguridad de IA Aim Security.
Microsoft 365 Copilot es un asistente de productividad diseñado para mejorar
la interacción de los usuarios con aplicaciones como Word, PowerPoint y
Outlook. Copilot puede consultar correos electrónicos, extrayendo y
administrando información de la bandeja de entrada del usuario.
El ataque sin clic, denominado EchoLeak, implica una vulnerabilidad identificada como CVE-2025-32711 y permitía
a los atacantes obtener información potencialmente valiosa de un usuario u
organización objetivo sin requerir la interacción del usuario.
Microsoft publicó el miércoles un aviso sobre la vulnerabilidad, que describió como «inyección de comandos de IA en M365 Copilot» y
clasificó como «crítica». Sin embargo,
informó a los clientes que se ha implementado un parche en el servidor y
que no se requiere ninguna acción por parte del cliente.
El ataque EchoLeak consiste en enviar un correo electrónico especialmente
diseñado al usuario objetivo. Este correo contiene instrucciones para que
Copilot recopile información confidencial y personal de conversaciones previas
con el usuario y la envíe al servidor del atacante.
El usuario no necesita abrir el correo electrónico malicioso ni hacer clic
en ningún enlace.
El exploit, que Aim Security describió como inyección indirecta de mensajes,
se activa cuando la víctima solicita a Copilot la información mencionada en el
correo electrónico malicioso. En ese momento, Copilot ejecuta las
instrucciones del atacante para recopilar la información proporcionada
previamente por la víctima y enviársela.
Por ejemplo, el correo electrónico del atacante puede hacer referencia a
procesos de incorporación de empleados, guías de RR.HH. o guías de gestión de
bajas. Cuando el usuario objetivo pregunta a Copilot sobre alguno de estos
temas, la IA encuentra el correo electrónico del atacante y ejecuta las
instrucciones que contiene.
Si bien la cadena puede considerarse una manifestación de tres clases de vulnerabilidades del Top 10 de OWASP para Aplicaciones LLM (LLM01, LLM02 y LLM04), su mejor clasificación sería la de Inyección Indirecta de Avisos (LLM01).
Para ejecutar un ataque EchoLeak, el atacante debe eludir varios mecanismos de
seguridad, incluyendo clasificadores de ataques de inyección cruzada de
mensajes (XPIA), diseñados para prevenir la inyección de mensajes. XPIA se
evita redactando el correo electrónico malicioso de forma que parezca que está
dirigido al destinatario, sin incluir ninguna referencia a Copilot u otra IA.
El ataque también elude los mecanismos de redacción de imágenes y enlaces, así
como la Política de Seguridad de Contenido (CSP), lo que debería impedir la
exfiltración de datos.
«Se trata de un novedoso ataque práctico contra una aplicación LLM que
puede ser utilizado como arma por adversarios. El ataque permite al atacante
exfiltrar los datos más sensibles del contexto LLM actual, y el LLM se
utiliza contra sí mismo para garantizar que se filtren los datos», explicó Aim Security.
Fuente:
SecurityWeek