Problema 5307

Se descubre una falla de fuga de datos de IA sin clics en Microsoft 365 Copilot
bleepingcomputer.com · 2025

Un nuevo ataque, denominado "EchoLeak", es la primera vulnerabilidad de IA sin necesidad de clics conocida que permite a los atacantes extraer datos confidenciales de Microsoft 365 Copilot del contexto del usuario sin interacción.

El ataque fue ideado por investigadores de Aim Labs en enero de 2025, quienes informaron sus hallazgos a Microsoft. El gigante tecnológico asignó el identificador CVE-2025-32711 a la falla de divulgación de información, calificándola de crítica, y la corrigió en el servidor en mayo, por lo que no se requiere ninguna acción del usuario.

Además, Microsoft señaló que no hay evidencia de explotación en el mundo real, por lo que esta falla no afectó a ningún cliente.

Microsoft 365 Copilot es un asistente de IA integrado en aplicaciones de Office como Word, Excel, Outlook y Teams. Utiliza los modelos GPT de OpenAI y Microsoft Graph para ayudar a los usuarios a generar contenido, analizar datos y responder preguntas basadas en los archivos, correos electrónicos y chats internos de su organización.

Aunque ya se ha corregido y nunca se ha explotado maliciosamente, EchoLeak es crucial para demostrar una nueva clase de vulnerabilidades denominada "Violación del Alcance LLM", que provoca que un modelo de lenguaje grande (LLM) filtre datos internos privilegiados sin intención ni interacción del usuario.

Como el ataque no requiere interacción con la víctima, puede automatizarse para realizar una exfiltración silenciosa de datos en entornos empresariales, lo que pone de manifiesto la peligrosidad de estas vulnerabilidades cuando se implementan contra sistemas integrados con IA.

Cómo funciona EchoLeak

El ataque comienza con un correo electrónico malicioso enviado al objetivo, que contiene texto no relacionado con Copilot y cuyo formato imita el de un documento empresarial típico.

El correo electrónico incorpora una inyección de mensaje oculto diseñada para indicar al LLM que extraiga y exfiltre datos internos confidenciales. Dado que el mensaje está redactado como un mensaje normal dirigido a un humano, elude las protecciones del clasificador XPIA (ataque de inyección cruzada de mensajes) de Microsoft.

Posteriormente, cuando el usuario formula a Copilot una pregunta empresarial relacionada, el motor de Recuperación-Generación Aumentada (RAG) recupera el correo electrónico en el contexto del mensaje del LLM debido a su formato y aparente relevancia.

La inyección maliciosa, que ahora llega al LLM, lo engaña para que extraiga datos internos confidenciales y los inserte en un enlace o imagen creados.

Aim Labs descubrió que algunos formatos de imagen Markdown hacen que el navegador solicite la imagen, que envía automáticamente la URL, incluidos los datos incrustados, al servidor del atacante.

Microsoft CSP bloquea la mayoría de los dominios externos, pero las URL de Microsoft Teams y SharePoint son de confianza, por lo que se pueden utilizar para exfiltrar datos sin problemas.

Puede que EchoLeak se haya solucionado, pero la creciente complejidad y la mayor integración de las aplicaciones LLM en los flujos de trabajo empresariales ya están superando las defensas tradicionales.

Esta misma tendencia seguramente creará nuevas vulnerabilidades que los adversarios pueden explotar sigilosamente para realizar ataques de alto impacto.

Es importante que las empresas refuercen sus filtros de inyección de avisos, implementen un análisis granular de la entrada y apliquen filtros de posprocesamiento en la salida LLM para bloquear las respuestas que contengan enlaces externos o datos estructurados.

Además, los motores RAG pueden configurarse para excluir las comunicaciones externas y evitar así la recuperación de avisos maliciosos.

Leer la Fuente