Problema 5329
Una vulnerabilidad crítica podría haber permitido a los atacantes lanzar ataques de inyección rápida contra los usuarios de Copilot, aunque Microsoft finalmente solucionó el problema antes de que se hiciera público.
Aim Security, empresa que vende herramientas de seguridad en el sector de la IA, publicó el miércoles una investigación sobre "EchoLeak", una vulnerabilidad de cero clics, identificada como CVE-2025-32711, dirigida a Microsoft 365 Copilot. Según investigadores de Aim Labs, las cadenas de ataque que involucran esta vulnerabilidad permiten a los atacantes extraer automáticamente información confidencial y propietaria del contexto de Microsoft 365 Copilot, sin que el usuario lo sepa ni basándose en el comportamiento específico de la víctima.
Copilot (https://www.techtarget.com/whatis/definition/Microsoft-Copilot) representa un conjunto de herramientas basadas en IA dentro del ecosistema M365 que permiten al usuario redactar documentos mediante texto generado, analizar datos en correo electrónico y Excel, e implementar agentes. Esta es una novedad reciente en el hiperactivo sector de productos LLM (https://www.darkreading.com/cloud-security/agentic-ai-gartner-srm-summit).
Aunque Copilot normalmente solo está disponible para miembros internos de la organización de un cliente, Aim Lab afirma que aún puede ejecutar el ataque simplemente enviando un correo electrónico.
Microsoft ha publicado una actualización que aborda la vulnerabilidad y la compañía afirma que no es necesaria ninguna acción por parte del cliente. Además, hasta la fecha no se conocen casos de clientes afectados por el ataque.
EchoLeak en acción
El ataque comienza cuando un actor de amenazas envía un correo electrónico a la víctima para que le indique a Copilot que proporcione datos confidenciales. En otras palabras, se trata de un tipo de ataque de inyección de mensajes. Estos ataques basados en correo electrónico suelen basarse en que los agentes de IA suelen escanear los correos electrónicos y comprobar las URL antes de que el usuario tenga la oportunidad de hacerlo, con el fin de generar resúmenes.
Sin embargo, aunque los clasificadores de ataques de inyección cruzada de mensajes (XPIA) normalmente impedirían que las inyecciones de mensajes básicos llegaran a la bandeja de entrada del usuario, EchoLeak se basa en redactar el correo electrónico para que parezca instrucciones para el usuario, en lugar de Copilot. Esto elude los clasificadores y permite que el correo electrónico llegue a su destino final.
En el correo electrónico, el atacante incluye un enlace a su dominio con los "parámetros de la cadena de consulta registrados en el servidor del atacante".
"Las instrucciones del atacante especifican que los parámetros de la cadena de consulta deben ser la información MÁS sensible del contexto del LLM, completando así la exfiltración", se lee en la investigación. Aunque Copilot normalmente sabría cómo redactar enlaces de Markdown en el registro de chat que, de otro modo, se considerarían inseguros, la URL del atacante utiliza Markdowns de estilo de referencia, lo que en ese momento eludió esta protección.
Por ejemplo, los investigadores utilizaron esta estrategia para preguntar a Copilot "¿Cuál es la clave de API que me envié?", y la instancia de Copilot generó una respuesta.
Un truco similar de formato de Markdown permitió a los investigadores generar una imagen con Copilot a través de un correo electrónico. Sin embargo, el impacto de la vulnerabilidad, especialmente en este caso, se habría visto reducido por la Política de Seguridad de Contenido de Microsoft, que exige la inclusión de URL en la lista de permitidos. "Así que, básicamente, ahora podemos hacer que LLM responda con una imagen, pero el navegador no intenta obtenerla por nosotros, ya que evil.com no es compatible con img-src CSP", explicaron los investigadores, quienes finalmente utilizaron peculiaridades de SharePoint y el proceso de invitación de Microsoft Teams para evitar esto por completo.
Microsoft soluciona EchoLeak
En resumen, la vulnerabilidad y la cadena de ataque más amplia habrían permitido a un atacante enviar un correo electrónico con una redacción específica que supera los filtros, incluye un enlace incrustado con instrucciones maliciosas y obliga a Copilot a enviar datos confidenciales a un dominio controlado por el atacante, todo ello evadiendo las medidas de seguridad existentes.
Un portavoz de Microsoft compartió la siguiente declaración con Dark Reading:
"Agradecemos a Aim Labs por identificar y reportar responsablemente este problema para que pudiera ser abordado antes de que nuestros clientes se vieran afectados. Ya hemos actualizado nuestros productos para mitigar este problema y no se requiere ninguna acción por parte del cliente. También estamos implementando medidas adicionales de defensa en profundidad para fortalecer aún más nuestra postura de seguridad".
Si bien la vulnerabilidad ha sido abordada, cabe destacar que CVE-2025-32711 recibió una puntuación de gravedad crítica de 9,3 en el CVSS. Aún existen dudas sobre la posibilidad de que una falla de inyección rápida de este tipo afecte a otros productos de IA.
Adir Gruss, cofundador y director de tecnología (CTO) de Aim Security, explica a Dark Reading en un correo electrónico que, si bien este tipo de ataques de inyección rápida son muy relevantes para otros proveedores y productos, los detalles de implementación de cada agente son diferentes. "Ya hemos detectado varias vulnerabilidades similares en otras plataformas", añade.