Los investigadores de seguridad de AIM Security descubrieron «Echoleak», la primera vulnerabilidad conocida de inteligencia artificial (IA) de Clófica en Copilot de Microsoft 365 que permitió a los atacantes desviar silenciosamente los datos corporativos confidenciales simplemente enviando un correo electrónico maliciosamente elaborado que no requirió interacción del usuario, sin hacer clic en enlaces y sin descargas.
«Esta vulnerabilidad representa un avance significativo en la investigación de seguridad de la IA porque demuestra cómo los atacantes pueden exfiltrar automáticamente la información más confidencial del contexto de Microsoft 365 Copilot sin requerir ninguna interacción del usuario», dijo Adir Gruss, cofundador de AIM Security y CTO, al describir el ataque de pañuelo cero.
¿Qué es Echoleak?
Descubierto en enero de 2025 y divulgado después de la solución del equipo MSRC de Microsoft en mayo, Echoleak podría haber permitido a los atacantes exfiltrarse a la información confidencial desde el entorno de Microsoft 365 conectado de un usuario, incluidos correos electrónicos de Outlook, archivos de OneDrive, documentos de oficina, contenido de SharePoint y historial de chat de los equipos, simplemente enviando un correo electrónico de Outlook. Este correo electrónico pasaría por alto múltiples salvaguardas de seguridad e activaría el copiloto para filtrar los datos internos que de otro modo mantendría en privado.
Lo que es aún más alarmante es que el atacante no necesita ser un empleado de la organización. Cualquier remitente externo podría iniciar el ataque.
En una publicación de blog el miércoles, el equipo de AIM Labs escribió Ese Echoleak explotó un concepto que describieron como una «violación del alcance del modelo de lenguaje grande (LLM)». En este caso, un actor malicioso envía un correo electrónico de aspecto inocente atado con un indicador oculto disfrazado de formato de Markdown.
Cuando un usuario luego le hace una pregunta relacionada con el copiloto, la IA recupera el correo electrónico de su contexto y ejecuta sin saberlo las instrucciones integradas, extrayendo datos confidenciales de fuentes internas como documentos, correos electrónicos o chats.
Luego, el pronóstico del atacante instruye a Copilot a incrustar los datos extraídos dentro de una imagen o enlace. Esto hace que el navegador obtenga automáticamente el recurso, a menudo a través de dominios de Microsoft de confianza como SharePoint o equipos, enviando instantáneamente la información confidencial a un servidor controlado por el atacante, todo mientras permanece invisible para el usuario.
Cómo funciona la cadena de ataque Echoleak
Hay cuatro etapas en las que funciona la cadena de ataque:
1. XPIA Bypass
Microsoft utiliza un sistema llamado XPIA (ataque de inyección de promopias cruzadas) para detectar y bloquear las indicaciones sospechosas de alcanzar la LLM subyacente de Copilot de M365. Sin embargo, AIM Security descubrió que los ataques de inyección inmediatos podrían evitar fácilmente los clasificadores XPIA si se redacta como guía informal para el destinatario del correo electrónico evitando completamente palabras como IA/asistentes/copiloto, etc.
2. Bypass de redacción de enlace
Normalmente, Copilot redacta los enlaces de markdown externos desde el historial de chat antes de que el usuario tenga alguna posibilidad de hacer clic en esos enlaces.
Also read: Cómo acceder al modo de recuperación en un teléfono Huawei con un solo clic
Pero al usar trucos, como los enlaces de Markdown de estilo referencia, los atacantes evaden los filtros de redacción de Copilot y no son eliminados del chat por el copilot M365. Estos enlaces se exfiltran silenciosamente en la salida LLM.
3. Bypass de redacción de imagen
Para eliminar la necesidad de que el usuario haga clic en cualquier cosa, los atacantes usan Markdown de imagen de estilo de referencia. El navegador intenta «cargar» la imagen de un servidor controlado por el atacante, que luego desencadena automáticamente la exfiltración de datos sin la interacción del usuario.
4. Bypass de CSP usando SharePoint
Dado que la mayoría de los dominios externos están bloqueados por la Política de seguridad de contenido (CSP) de Microsoft, los investigadores enderezaron su exploit a través de servicios sancionados de Microsoft como los equipos de SharePoint y Microsoft. Esto permitió al atacante exfiltrado silenciosamente los datos del contexto de copiloto confidencial sin ninguna interacción del usuario, detección o permisos de acceso adicionales.
Más allá de la mecánica técnica, el exploit depende de una táctica AIM Labs llame «pulverización de trapo», donde los atacantes aumentan su tasa de éxito al inundar el sistema con un correo electrónico largo dividido en trozos o múltiples correos electrónicos diseñados para igualar las posibles consultas de los usuarios.
Una vez que Copilot recupera el contenido malicioso, sin saberlo sigue las instrucciones del atacante para extraer los datos más sensibles de su contexto interno y enviarlo al dominio del atacante, todo sin ninguna conciencia del usuario.
Esta cadena de explotación destaca fallas de diseño crítico en cómo los asistentes de IA interactúan con datos internos e interpretan las entradas de los usuarios.
Respuesta de Microsoft
Microsoft asignado CVE-2025-32711 a la falla crítica de clic cero con una puntuación CVSS de 9.3, y aplicó una solución del lado del servidor en mayo de 2025, lo que significa que no requirió intervención del usuario. El gigante de Redmond también señaló que no hay evidencia de ninguna explotación del mundo real, y no se sabe que los clientes se vean afectados.
A la luz de la vulnerabilidad de Echoleak, se aconseja a los usuarios y organizaciones que tomen varias medidas proactivas para mitigar los riesgos potenciales. Estos incluyen deshabilitar el contexto de correo electrónico externo en copiloto para limitar las fuentes de datos no confiables, revisar los correos electrónicos entrantes para obtener indicaciones, implementar barandillas de tiempo de ejecución específicas de IA a nivel de firewall para monitorear y bloquear el comportamiento inusual, y restringir la representación de modificación en las salidas de IA para evitar la exfiltración de datos a través de enlaces e imágenes.