I ricercatori di Aim Labs hanno identificato una vulnerabilità zero-click in Microsoft 365 Copilot, denominata EchoLeak, che permetteva di esfiltrare dati sensibili senza l’interazione dell’utente. Fortunatamente non risultano exploit in circolazione e vittime. L’azienda di Redmond ha risolto il problema applicando un fix lato server a maggio.

Descrizione della vulnerabilità

Microsoft 365 Copilot è un assistente AI integrato nelle app (Word, Excel, Outlook, Teams e altre) che utilizza i modelli GPT di OpenAI e Microsoft Graph per aiutare gli utenti a generare contenuti, analizzare dati e rispondere a domande basate su file, email e chat della propria azienda.

L’attacco inizia con l’invio di un’email alla vittima (ad esempio un dipendente dell’azienda) che non contiene testo con riferimenti a Copilot. Ciò permette di aggirare la protezione XPIA (Cross Prompt Injection Attack) di Microsoft. Nell’email è tuttavia nascosto un prompt che istruisce l’assistente ad estrarre dati sensibili.

Quando l’ignaro utente chiede informazioni sull’argomento trattato nell’email, Copilot recupera il messaggio, esegue il prompt nascosto e inserisce i dati in un link o un’immagine. Alcuni formati di immagine in Markdown vengono caricati automaticamente nel browser e i dati sono inviati al server dei cybercriminali.

La Content-Security-Policy di Microsoft blocca molti domini esterni, ma è sufficiente utilizzare gli URL di Teams o SharePoint per aggirare la protezione. Come detto, la vulnerabilità indicata con CVE-2025-32711 è stata risolta con un fix lato server.