Una nueva técnica de ataque citación Echoleak se ha caracterizado como una vulnerabilidad de inteligencia sintético (IA) de “clic cero” que permite que los malos actores exfiltren datos confidenciales de Microsoft 365 (M365) El contexto de Copilot sin ninguna interacción de agraciado.
A la vulnerabilidad con calificación crítica se le ha asignado el identificador CVE CVE-2025-32711 (puntaje CVSS: 9.3). No requiere ninguna entusiasmo del cliente y ya ha sido abordado por Microsoft. No hay evidencia de que la deficiencia haya sido explotada maliciosamente en la naturaleza.
“La inyección de comandos de IA en el copilot M365 permite a un atacante no competente divulgar información sobre una red”, dijo la compañía en un aviso publicado el miércoles. Desde entonces se ha complemento a la relación de Microsoft Patch Martes para junio de 2025, llevando el número total de defectos fijos a 68.
AIM Security, que descubrió e informó el problema, dijo que es una instancia de una violación del talento de un maniquí de idioma ancho (LLM) que allana el camino para la inyección indirecta, lo que lleva a un comportamiento no deseado.
La violación del talento de LLM ocurre cuando las instrucciones de un atacante integradas en contenido no confiable, por ejemplo, un correo electrónico enviado desde fuera de una estructura, engaña con éxito el sistema de IA para conseguir y procesar datos internos privilegiados sin intención o interacción explícita del agraciado.
“Las cadenas permiten a los atacantes exfiltran automáticamente información sensible y patentada del contexto de copiloto M365, sin la conciencia del agraciado, o confían en cualquier comportamiento de víctima específico”, dijo la compañía de seguridad cibernética israelí. “El resultado se logra a pesar de que la interfaz de Copilot M365 está abierta solo para los empleados de la estructura”.
En el caso de Echoleak, el atacante incrusta una carga útil maliciosa adentro del contenido con formato de Markdown, como un correo electrónico, que luego es analizado por el motor de vivientes de recuperación (RAG) del sistema AI. La carga útil desencadena en silencio el LLM para extraer y devolver información privada del contexto coetáneo del agraciado.
La secuencia de ataque se desarrolla de la posterior forma –
- Inyección: El atacante envía un correo electrónico de aspecto inocuo a la bandeja de entrada de Outlook de un empleado, que incluye la explotación de violación del talento de LLM
- El agraciado pregunta Microsoft 365 Copilot Una pregunta relacionada con el negocio (por ejemplo, resumir y analizar su noticia de ganancias)
- Violación del talento: Copilot mezcla la entrada atacada no confiable con datos confidenciales al contexto LLM por el motor de vivientes de recuperación (RAG) de la recuperación (RAG)
- Recuperación: Copilot filtra los datos confidenciales al atacante a través de equipos de Microsoft y URL de SharePoint
Es importante destacar que no se requieren clics de agraciado para activar Echoleak. El atacante se pedestal en el comportamiento predeterminado de Copilot para combinar y procesar contenido de Outlook y SharePoint sin aislar los límites de confianza, convirtiendo la automatización útil en un vector de fuga silencioso.
“Como una vulnerabilidad de IA de clic cero, Echoleak abre amplias oportunidades para la exfiltración de datos y los ataques de perjuicio para actores de amenazas motivados”, dijo Aim Security. “En un mundo agente en constante proceso, muestra los riesgos potenciales que son inherentes al diseño de agentes y chatbots”.
“El ataque da como resultado que el atacante exfiltrara los datos más confidenciales del contexto LLM coetáneo, y el LLM se está utilizando contra sí mismo para cerciorarse de que los datos más confidenciales del contexto LLM se filtren, no se pedestal en un comportamiento específico del agraciado y se puede ejecutar tanto en conversaciones individuales como en conversaciones múltiples”.
Echoleak es especialmente peligroso porque explota cómo el copilot recupera y clasifica los datos, utilizando privilegios internos de comunicación a documentos, que los atacantes pueden influir indirectamente a través de la carga útil incrustadas en fuentes aparentemente benignas como notas de reuniones o cadenas de correo electrónico.
MCP y envenenamiento de herramientas avanzadas
La divulgación se produce cuando Cyberark reveló un ataque de envenenamiento de herramientas (TPA) que afecta el unificado del Protocolo de contexto del maniquí (MCP) y va más allá de la descripción de la utensilio para extenderlo en todo el esquema de la utensilio. La técnica de ataque ha sido nombrada en codemento de envenenamiento de esquema completo (FSP).
“Si admisiblemente la longevo parte de la atención en torno a los ataques de envenenamiento de herramientas se ha centrado en el campo de la descripción, esto subestima enormemente la otra superficie de ataque potencial”, dijo la investigadora de seguridad Simcha Kosman. “Cada parte del esquema de herramientas es un posible punto de inyección, no solo la descripción”.
 |
| Ataques de envenenamiento de herramientas MCP (crédito: laboratorios invariantes) |
La compañía de seguridad cibernética dijo que el problema se pedestal en el “maniquí de confianza fundamentalmente entusiasta” de MCP que equivale a la corrección sintáctica a la seguridad semántica y supone que solo LLMS razonan sobre comportamientos explícitamente documentados.
Adicionalmente, TPA y FSP podrían armarse para organizar ataques avanzados de envenenamiento por herramientas (ATPA), en el que el atacante diseña una utensilio con una descripción benigna pero muestra un mensaje de error embustero que engaña a la LLM para conseguir a los datos confidenciales (por ejemplo, las teclas SSH) para asaltar el problema de la ordenada.
“A medida que los agentes de LLM se vuelven más capaces y autónomos, su interacción con herramientas externas a través de protocolos como MCP definirá cuán de forma segura y confiable operan”, dijo Kosman. “Los ataques de envenenamiento de herramientas, especialmente formas avanzadas como ATPA, exponen los puntos cegados críticos en las implementaciones actuales”.
Eso no es todo. Regalado que MCP permite a los agentes de IA (o asistentes) interactuar con varias herramientas, servicios y fuentes de datos de forma consistente, cualquier vulnerabilidad en la inmueble de cliente cliente MCP podría sugerir serios riesgos de seguridad, incluida la manipulación de un agente para filtrar datos o ejecutar código malvado.
Esto se evidencia en una falta de seguridad crítica recientemente revelada en la popular integración de GitHub MCP, que, si se explota con éxito, podría permitir que un atacante secuestre al agente de un agraciado a través de un problema malvado de GitHub, y coaccionarlo en los datos de fuga de repositorios privados cuando el agraciado solicita que el maniquí “analice los problemas”.
“El problema contiene una carga útil que será ejecutada por el agente tan pronto como consulte la relación de problemas del repositorio notorio”, dijeron los investigadores invariantes de Labs Entorno Milanta y Luca Beurer-Kellner, clasificándolo como un caso de un flujo de agente tóxico.
Dicho esto, la vulnerabilidad no puede ser abordada por Github sola a través de parches del banda del servidor, ya que es más un “problema arquitectónico fundamental”, lo que requiere que los usuarios implementen controles de permiso granular para avalar que el agente tenga comunicación solo a los repeticiones con los que necesita interactuar y las interacciones continuas entre los agentes y los sistemas MCP.
Dar paso al ataque de reembolso de MCP
El rápido progreso de MCP como el “tejido conectivo para la automatización empresarial y las aplicaciones de agente” igualmente ha despejado nuevas vías de ataque, como el sistema de nombres de dominio (DNS) que se reembolsa, para conseguir a datos confidenciales al explotar eventos (SSE) (SSE) utilizado por los servidores MCP para la comunicación de transmisión en tiempo actual a los clientes de MCP.
Los ataques de reembolso de DNS implican engañar al navegador de una víctima para que traten un dominio extranjero como si perteneciera a la red interna (es sostener, localhost). Estos ataques, que están diseñados para eludir las restricciones de política del mismo origen (SOP), se activan cuando un agraciado encuentro un sitio malvado creado por el atacante a través de phishing o ingeniería social.
“Existe una desconexión entre el mecanismo de seguridad del navegador y los protocolos de redes”, dijo Jaroslav Lobacevski de Github en un explicador sobre DNS Rebinding publicado esta semana. “Si la dirección IP resuelta del host de la página web cambia, el navegador no la tiene en cuenta y prostitución la página web como si su origen no cambiara. Esto puede ser abusado por los atacantes”.
Este comportamiento esencialmente permite que JavaScript del banda del cliente de un sitio malvado deba ocurrir por detención los controles de seguridad y dirigirse a otros dispositivos en la red privada de la víctima que no están expuestas a Internet notorio.
 |
| Ataque de reembolso de MCP |
El ataque de reembolso de MCP aprovecha la capacidad de un sitio web controlado por el adversario para conseguir a los capital internos en la red específico de la víctima para interactuar con el servidor MCP que se ejecuta en Localhost sobre SSE y finalmente exfiltran los datos confidenciales.
“Al atropellar de las conexiones de larga duración de SSE, los atacantes pueden pivotar desde un dominio de phishing extranjero para atacar a los servidores internos de MCP”, dijo el equipo Straiker AI Research (STAR) en un exploración publicado el mes pasado.
Vale la pena señalar que SSE se ha desapercido a partir de noviembre de 2024 a privanza de HTTP fletable adecuado a los riesgos planteados por los ataques de reembolso del DNS. Para mitigar la amenaza de tales ataques, se recomienda hacer cumplir la autenticación en los servidores MCP y validar el encabezado de “origen” en todas las conexiones entrantes al servidor MCP para avalar que las solicitudes provengan de fuentes confiables.
