O Microsoft 365 Copilot estava vulnerável a um método de ataque que poderia ter sido explorado por criminosos cibernéticos para obter informações sensíveis, segundo relatório da empresa de segurança de IA Aim Security, divulgado nesta quarta-feira.
Conhecido como EchoLeak, o ataque sem necessidade de clique é baseado em uma falha rastreada como CVE-2025-32711. Ele permitia que os atacantes utilizassem o Copilot para exfiltrar automaticamente informações valiosas de usuários ou organizações-alvo, sem que fosse necessário qualquer tipo de interação do usuário.
A Microsoft divulgou, também nesta quarta-feira, um alerta sobre a vulnerabilidade, classificando-a como “injeção de comandos de IA no M365 Copilot” e a classificando como “crítica”. No entanto, a gigante informou que uma correção já foi implementada do lado do servidor, não sendo necessária nenhuma ação dos clientes.
O Microsoft 365 Copilot é um assistente de produtividade projetado para melhorar a interação dos usuários com aplicativos como Word, PowerPoint e Outlook. O Copilot pode consultar e-mails, extraindo e gerenciando informações da caixa de entrada do usuário.
Como Funciona o Ataque EchoLeak
O ataque EchoLeak envolve o envio de um e-mail especialmente elaborado para o usuário-alvo. Esse e-mail contém instruções para que o Copilot colete informações confidenciais e pessoais de conversas anteriores com o usuário e as envie para o servidor do atacante. O usuário não precisa abrir o e-mail ou clicar em nenhum link. O exploit é acionado quando a vítima pede ao Copilot informações que são referenciadas no e-mail malicioso. Nesse momento, o Copilot executa as instruções do atacante, coletando dados previamente fornecidos pela vítima e enviando-os ao atacante.
Por exemplo, o e-mail do atacante pode fazer referência a processos de integração de funcionários, guias de recursos humanos ou gestão de ausências. Quando o usuário-alvo consulta o Copilot sobre um desses tópicos, a IA localiza o e-mail do atacante e executa as instruções contidas nele.
Desafios para os Atacantes
Para executar o ataque EchoLeak, o atacante precisa contornar várias camadas de segurança, incluindo classificadores de ataque de injeção entre prompts (XPIA), projetados para evitar injeções de comandos. O XPIA é contornado ao redigir o e-mail de forma que pareça ser destinado ao destinatário, sem fazer menção ao Copilot ou a qualquer outra IA. O ataque também contorna mecanismos de redirecionamento de imagens e links, bem como a Política de Segurança de Conteúdo (CSP), que deveria prevenir a exfiltração de dados.
Segundo a Aim Security, “este é um ataque prático e inédito em uma aplicação de LLM (Modelo de Linguagem de Grande Escala), que pode ser potencializado por adversários. O ataque permite que o atacante exfiltre os dados mais sensíveis do contexto atual da LLM – e a LLM está sendo usada contra si mesma ao garantir que os dados MAIS sensíveis sejam vazados, não dependente de um comportamento específico do usuário, podendo ser executado tanto em conversas de um único turno quanto em conversas de múltiplos turnos.”
Possibilidade de Impacto em Outras Aplicações de IA
A Aim Security também alertou que, embora o ataque EchoLeak tenha sido demonstrado contra o Microsoft Copilot, a técnica pode funcionar contra outras aplicações de IA, ampliando o potencial de riscos em diversos ambientes de trabalho.
A Microsoft já implementou as correções necessárias, mas os especialistas em segurança recomendam que os usuários continuem atentos a novos alertas e vulnerabilidades que possam surgir.
Para saber mais, clique aqui.
