EchoLeak: una vulnerabilità zero-click nell’intelligenza artificiale di Microsoft 365 Copilot
Una nuova tecnica di attacco, denominata EchoLeak, è stata identificata come una vulnerabilità zero-click nell’intelligenza artificiale (AI) che consente agli attori malintenzionati di esfiltrare dati sensibili dal contesto di Microsoft 365 Copilot senza alcuna interazione da parte dell’utente. Questa vulnerabilità critica è stata assegnata l’identificativo CVE-2025-32711 con un punteggio CVSS di 9.3. Microsoft ha già risolto il problema e non è necessaria alcuna azione da parte dei clienti. Non ci sono prove che questa falla sia stata sfruttata in modo dannoso nel mondo reale.
Iniezione di comandi AI in M365 Copilot
Secondo un avviso rilasciato dall’azienda, l’iniezione di comandi AI in M365 Copilot permette a un attaccante non autorizzato di divulgare informazioni attraverso una rete. Questo problema è stato aggiunto alla lista del Patch Tuesday di Microsoft per giugno 2025, portando il numero totale di falle corrette a 68.
Violazione del campo di applicazione del modello linguistico
Aim Security, che ha scoperto e segnalato il problema, ha dichiarato che si tratta di un caso di violazione del campo di applicazione di un modello linguistico (LLM) che apre la strada a iniezioni di prompt indirette, portando a comportamenti indesiderati. La violazione del campo di applicazione LLM si verifica quando le istruzioni di un attaccante, incorporate in contenuti non attendibili come un’email inviata dall’esterno di un’organizzazione, riescono a ingannare il sistema AI facendogli accedere e processare dati interni privilegiati senza l’intento o l’interazione esplicita dell’utente.
Sequenza dell’attacco EchoLeak
Nel caso di EchoLeak, l’attaccante incorpora un payload di prompt dannoso all’interno di contenuti formattati in markdown, come un’email, che viene poi analizzato dal motore di generazione aumentata dal recupero (RAG) del sistema AI. Il payload attiva silenziosamente l’LLM per estrarre e restituire informazioni private dal contesto attuale dell’utente.
La sequenza dell’attacco si sviluppa come segue:
- Iniezione: L’attaccante invia un’email dall’aspetto innocuo alla casella di posta Outlook di un dipendente, che include l’exploit di violazione del campo di applicazione LLM.
- Violazione del campo di applicazione: Copilot mescola l’input attaccato non attendibile con dati sensibili nel contesto LLM tramite il motore RAG.
- Recupero: Copilot perde i dati sensibili all’attaccante tramite URL di Microsoft Teams e SharePoint.
Importante, non sono necessari clic da parte dell’utente per attivare EchoLeak. L’attaccante si affida al comportamento predefinito di Copilot per combinare e processare contenuti da Outlook e SharePoint senza isolare i confini di fiducia, trasformando l’automazione utile in un vettore di perdita silenziosa.
Opportunità di esfiltrazione dati e attacchi di estorsione
Secondo Aim Security, come vulnerabilità zero-click AI, EchoLeak apre ampie opportunità per l’esfiltrazione di dati e attacchi di estorsione per attori di minacce motivati. In un mondo sempre più agentico, mette in luce i potenziali rischi insiti nel design degli agenti.
Fonte: The Hackers News
