Un nuevo ataque denominado EchoLeak es la primera
vulnerabilidad de tipo zero-click (sin clic) conocida que permite a
atacantes exfiltrar datos sensibles desde Microsoft 365 Copilot sin
necesidad de interacción por parte del usuario.
El ataque fue desarrollado por investigadores de Aim Labs en
enero de 2025 y reportado a Microsoft. La compañía asignó el
identificador CVE-2025-32711 a este fallo de divulgación de información,
lo calificó como crítico y lo solucionó a nivel de servidor en mayo, por
lo que no se requiere ninguna acción por parte de los usuarios.
Microsoft ha señalado que no hay evidencia de haya sido
explotado, por lo que ningún cliente se ve afectado.
Microsoft 365 Copilot es un asistente de IA integrado en
aplicaciones de Office como Word, Excel, Outlook y Teams. Utiliza modelos de
lenguaje GPT de OpenAI, al igual que ChatGPT, junto con Microsoft
Graph para ayudar a los usuarios a generar contenido, analizar datos y
responder preguntas basadas en archivos internos, correos electrónicos y chats
de la organización que lo está usando.
Aunque EchoLeak ha sido corregido y no ha sido aprovechado
por actores maliciosos, ilustra una nueva clase de vulnerabilidades que Aim Labs llama LLM Scope Violation. Este tipo de fallo permite a un
modelo de lenguaje filtrar datos internos sin intención o interacción del
usuario.
Al no requerir interacción de la víctima, el ataque puede
automatizarse para realizar exfiltraciones silenciosas de datos en
entornos corporativos, lo que demuestra lo peligrosas que pueden ser estas
vulnerabilidades en sistemas que integran IA.
Cómo funciona EchoLeak
El ataque comienza con el envío de un correo electrónico
malicioso al objetivo. El mensaje, que parece un correo común del trabajo,
contiene una inyección de prompt oculta diseñada para instruir al modelo
de lenguaje a extraer y enviar datos internos sensibles.
Como el mensaje está redactado como si fuera una
comunicación legítima entre personas, logra eludir los mecanismos de defensa
de Microsoft, como el clasificador XPIA Cross-Prompt Injection Attack o Ataque
de Inyección de Instrucciones Cruzadas). Este es un sistema automático que detecta
posibles ataques que intentan inyectar órdenes maliciosas en los textos que
analiza Copilot.
Más tarde, cuando el usuario hace una consulta relacionada
en Copilot, el motor RAG (Retrieval-Augmented Generation o Generación Aumentada
por Recuperación), encargado de recuperar información relevante de correos,
archivos o chats que puedan estar relacionados con lo que el usuario pregunta, incorpora
automáticamente el correo malicioso por su formato y aparente relevancia para
la acción demandada por el usuario.
En ese momento, la inyección maliciosa llega al modelo y lo ‘engaña’
para que extraiga información confidencial y la inserte en un enlace fraudulento,
a una imagen que no existe, cuya función es exfiltrar esos datos.
El último paso tiene que ver con código markdown, un
lenguaje de formato muy básico, usado para dar estilo al texto de forma
sencilla. También permite, por ejemplo, insertar imágenes o enlaces con una sintaxis
muy simple.
Cuando un sistema, Copilot en este caso, genera ese tipo de
texto, el navegador siempre interpreta que debe cargar la imagen (falsa) desde
la dirección web indicada. Esa carga ocurre automáticamente, sin necesidad
de hacer clic por parte del usuario. Al hacerlo, envía la información
embebida en la URL al servidor del atacante.
La vulnerabilidad no requiere que la víctima realice ninguna acción para que sus datos sean exfiltrados
Un nuevo ataque denominado EchoLeak es la primera vulnerabilidad de tipo zero-click (sin clic) conocida que permite a atacantes exfiltrar datos sensibles desde Microsoft 365 Copilot sin necesidad de interacción por parte del usuario.
El ataque fue desarrollado por investigadores de Aim Labs en enero de 2025 y reportado a Microsoft. La compañía asignó el identificador CVE-2025-32711 a este fallo de divulgación de información, lo calificó como crítico y lo solucionó a nivel de servidor en mayo, por lo que no se requiere ninguna acción por parte de los usuarios.
Microsoft ha señalado que no hay evidencia de haya sido explotado, por lo que ningún cliente se ve afectado.
Microsoft 365 Copilot es un asistente de IA integrado en aplicaciones de Office como Word, Excel, Outlook y Teams. Utiliza modelos de lenguaje GPT de OpenAI, al igual que ChatGPT, junto con Microsoft Graph para ayudar a los usuarios a generar contenido, analizar datos y responder preguntas basadas en archivos internos, correos electrónicos y chats de la organización que lo está usando.
Aunque EchoLeak ha sido corregido y no ha sido aprovechado por actores maliciosos, ilustra una nueva clase de vulnerabilidades que Aim Labs llama LLM Scope Violation. Este tipo de fallo permite a un modelo de lenguaje filtrar datos internos sin intención o interacción del usuario.
Al no requerir interacción de la víctima, el ataque puede automatizarse para realizar exfiltraciones silenciosas de datos en entornos corporativos, lo que demuestra lo peligrosas que pueden ser estas vulnerabilidades en sistemas que integran IA.
El ataque comienza con el envío de un correo electrónico malicioso al objetivo. El mensaje, que parece un correo común del trabajo, contiene una inyección de prompt oculta diseñada para instruir al modelo de lenguaje a extraer y enviar datos internos sensibles.
Como el mensaje está redactado como si fuera una comunicación legítima entre personas, logra eludir los mecanismos de defensa de Microsoft, como el clasificador XPIA Cross-Prompt Injection Attack o Ataque de Inyección de Instrucciones Cruzadas). Este es un sistema automático que detecta posibles ataques que intentan inyectar órdenes maliciosas en los textos que analiza Copilot.
Más tarde, cuando el usuario hace una consulta relacionada en Copilot, el motor RAG (Retrieval-Augmented Generation o Generación Aumentada por Recuperación), encargado de recuperar información relevante de correos, archivos o chats que puedan estar relacionados con lo que el usuario pregunta, incorpora automáticamente el correo malicioso por su formato y aparente relevancia para la acción demandada por el usuario.
En ese momento, la inyección maliciosa llega al modelo y lo ‘engaña’ para que extraiga información confidencial y la inserte en un enlace fraudulento, a una imagen que no existe, cuya función es exfiltrar esos datos.
El último paso tiene que ver con código markdown, un lenguaje de formato muy básico, usado para dar estilo al texto de forma sencilla. También permite, por ejemplo, insertar imágenes o enlaces con una sintaxis muy simple.
Cuando un sistema, Copilot en este caso, genera ese tipo de texto, el navegador siempre interpreta que debe cargar la imagen (falsa) desde la dirección web indicada. Esa carga ocurre automáticamente, sin necesidad de hacer clic por parte del usuario. Al hacerlo, envía la información embebida en la URL al servidor del atacante.
Noticias de Tecnología y Videojuegos en La Razón
