Falha crítica “zero-clique” no Copilot da Microsoft 365 expõe dados confidenciais sem interação do usuário

Uma nova vulnerabilidade, batizada de EchoLeak, revelou uma brecha grave na segurança da inteligência artificial do Microsoft 365 Copilot. A falha permite que atacantes extraiam dados sensíveis do contexto do Copilot sem qualquer ação ou interação por parte do usuário.

A vulnerabilidade foi classificada como crítica, recebendo o identificador CVE-2025-32711 e uma pontuação CVSS de 9,3. Segundo a Microsoft, o problema já foi corrigido e não há evidências de que tenha sido explorado ativamente em ataques reais. A empresa incluiu a correção no pacote de atualizações de segurança do Patch Tuesday de junho de 2025, totalizando 68 falhas resolvidas neste ciclo.

De acordo com a empresa israelense de cibersegurança Aim Security, que descobriu e relatou o problema, trata-se de um caso de violação de escopo em modelos de linguagem de grande porte (LLM). Essa violação permite injeção indireta de comandos (prompt injection), o que leva a comportamentos inesperados do sistema.

Essa técnica funciona da seguinte maneira: um invasor envia conteúdo formatado em markdown (por exemplo, um e-mail) que contém um prompt malicioso disfarçado. O mecanismo de geração aumentada por recuperação (RAG) do Copilot processa esse conteúdo e, sem o conhecimento do usuário, o modelo LLM acaba acessando e retornando informações privadas presentes no contexto atual do Copilot.

A sequência de ataque se desenvolve em quatro etapas:

1. Injeção: O atacante envia um e-mail aparentemente inofensivo para a caixa de entrada do Outlook da vítima. Esse e-mail contém o exploit de violação de escopo do LLM.

2. Interação: O usuário faz uma pergunta legítima ao Copilot, como pedir um resumo de um relatório financeiro.

3. Violação de escopo: O motor RAG do Copilot mistura os dados não confiáveis do e-mail malicioso com informações sensíveis do contexto interno.

4. Extração: O Copilot acaba vazando os dados sensíveis ao atacante, por meio de links do Microsoft Teams ou SharePoint.

O aspecto mais alarmante da EchoLeak é que não há necessidade de cliques ou ações específicas do usuário. A vulnerabilidade aproveita o comportamento padrão do Copilot, que processa automaticamente dados de diferentes fontes da organização, como e-mails e documentos internos, sem considerar limites de confiança entre os conteúdos.

A Aim Security destaca que esse tipo de ataque oferece amplas possibilidades para extração de dados e extorsão. “EchoLeak mostra como agentes e chatbots, quando mal projetados, podem ser usados contra si mesmos. O Copilot, nesse caso, atua como canal de vazamento de informações sensíveis, sem depender do comportamento da vítima ou da realização de várias interações”, alertou a empresa.

Além disso, o ataque pode ser aplicado tanto em conversas únicas quanto em diálogos mais longos, o que aumenta sua eficiência e risco.

Outro fator preocupante é que o ataque se aproveita dos próprios mecanismos do Copilot, que recuperam e classificam dados com base nos privilégios de acesso internos. Isso significa que até mesmo documentos protegidos podem ser explorados indiretamente, caso estejam no contexto do usuário afetado.

Poisoning no Protocolo de Contexto de Modelo (MCP)

Em paralelo à divulgação do EchoLeak, a CyberArk revelou um novo tipo de ataque batizado de Full-Schema Poisoning (FSP), que explora falhas no padrão Model Context Protocol (MCP). Esse ataque ultrapassa os campos de descrição das ferramentas e compromete toda a estrutura do esquema do modelo.

De acordo com o pesquisador de segurança Simcha Kosman, o foco excessivo em campos de descrição subestima o verdadeiro risco: “Cada parte do esquema da ferramenta pode ser um ponto de injeção, e não apenas a descrição.”

Esse alerta reforça a importância de ampliar as medidas de proteção e isolamento nos modelos de IA utilizados em ambientes corporativos, principalmente quando envolvem agentes automatizados com acesso a dados críticos.

A crescente complexidade dos agentes baseados em IA exige uma abordagem de segurança mais abrangente e proativa, pois novas vulnerabilidades como EchoLeak ou FSP demonstram que até mesmo sistemas projetados para ajudar podem se tornar vetores silenciosos de vazamento de informações.