El ataque de inteligencia artificial EchoLeak Zero-Click en Microsoft Copilot expone datos de la empresa

La firma de ciberseguridad Aim Labs ha descubierto un nuevo y grave problema de seguridad, denominado EchoLeak, que afecta a Microsoft 365 (M365) Copilot , un popular asistente de inteligencia artificial. Esta falla es una vulnerabilidad de cero clic, lo que significa que los atacantes pueden robar información confidencial de la empresa sin la interacción del usuario.

Aim Labs ha compartido detalles de esta vulnerabilidad y cómo puede explotarse con el equipo de seguridad de Microsoft y, hasta el momento, no tiene conocimiento de ningún cliente afectado por esta nueva amenaza.

Para su información, M365 Copilot es un chatbot basado en RAG, lo que significa que recopila información del entorno empresarial del usuario, como correos electrónicos, archivos en OneDrive, sitios de SharePoint y chats de Teams, para responder preguntas. Si bien Copilot está diseñado para acceder únicamente a los archivos a los que el usuario tiene permiso, estos archivos pueden contener datos privados o secretos de la empresa.

El principal problema con EchoLeak es un nuevo tipo de ataque que Aim Labs denomina Violación del Alcance LLM. Esto ocurre cuando las instrucciones de un atacante, enviadas en un correo electrónico no confiable, hacen que la IA (el Modelo de Lenguaje Grande o LLM) acceda indebidamente a datos privados de la empresa. En esencia, esto hace que la IA rompa sus propias reglas sobre qué información puede acceder. Aim Labs lo describe como un "correo electrónico desprivilegiado" que, de alguna manera, logra "relacionarse con datos privilegiados".

El ataque simplemente comienza cuando la víctima recibe un correo electrónico, redactado de forma ingeniosa para que parezca que contiene instrucciones para quien lo recibe, no para la IA. Este truco le permite evadir los filtros de seguridad de Microsoft, llamados clasificadores XPIA, que bloquean las instrucciones dañinas de la IA. Una vez que Copilot lee el correo electrónico, puede ser engañado para que envíe información confidencial fuera de la red de la empresa.

Aim Labs explicó que, para obtener los datos, tuvieron que encontrar maneras de sortear las defensas de Copilot, como sus intentos de ocultar enlaces externos y controlar qué datos se podían enviar. Encontraron métodos ingeniosos que aprovechaban la gestión de enlaces e imágenes, e incluso la forma en que SharePoint y Microsoft Teams gestionan las URL, para enviar datos en secreto al servidor del atacante. Por ejemplo, encontraron una forma de usar una URL específica de Microsoft Teams para obtener información secreta sin la intervención del usuario.

Este descubrimiento demuestra que existen problemas generales de diseño en muchos chatbots y agentes de IA . A diferencia de investigaciones anteriores, Aim Labs ha demostrado una forma práctica de utilizar este ataque para robar datos muy sensibles. El ataque ni siquiera requiere que el usuario converse con Copilot.

Aim Labs también analizó la pulverización de RAG para que los atacantes detecten sus correos electrónicos maliciosos con mayor frecuencia, incluso cuando los usuarios preguntan sobre diferentes temas, enviando correos electrónicos muy largos y fragmentados, lo que aumenta la probabilidad de que un fragmento sea relevante para la consulta del usuario. Por ahora, las organizaciones que utilizan M365 Copilot deben estar al tanto de este nuevo tipo de amenaza.

Ensar Seker , CISO de SOCRadar, advierte que los hallazgos de EchoLeak de Aim Labs revelan una importante brecha de seguridad en la IA. El exploit muestra cómo los atacantes pueden extraer datos de Microsoft 365 Copilot con tan solo un correo electrónico, sin necesidad de interacción del usuario. Al eludir los filtros y explotar las violaciones del alcance de LLM, se destacan riesgos más profundos en el diseño de agentes de IA.

Seker insta a las organizaciones a tratar a los asistentes de IA como infraestructura crítica, aplicar controles de entrada más estrictos y desactivar funciones como la ingestión de correo electrónico externo para evitar abusos.