Una nueva técnica de ataque indicación Echoleak se ha caracterizado como una vulnerabilidad de inteligencia fabricado (IA) de «clic cero» que permite que los malos actores exfiltren datos confidenciales de Microsoft 365 (M365) El contexto de Copilot sin ninguna interacción de afortunado.
A la vulnerabilidad con calificación crítica se le ha asignado el identificador CVE CVE-2025-32711 (puntaje CVSS: 9.3). No requiere ninguna influencia del cliente y ya ha sido abordado por Microsoft. No hay evidencia de que la deficiencia haya sido explotada maliciosamente en la naturaleza.
«La inyección de comandos de IA en el copilot M365 permite a un atacante no calificado divulgar información sobre una red», dijo la compañía en un aviso publicado el miércoles. Desde entonces se ha auxiliar a la nómina de Microsoft Patch Martes para junio de 2025, llevando el número total de defectos fijos a 68.
AIM Security, que descubrió e informó el problema, dijo que es una instancia de una violación del radio de un maniquí de idioma alto (LLM) que allana el camino para la inyección indirecta, lo que lleva a un comportamiento no deseado.
La violación del radio de LLM ocurre cuando las instrucciones de un atacante integradas en contenido no confiable, por ejemplo, un correo electrónico enviado desde fuera de una ordenamiento, engaña con éxito el sistema de IA para ingresar y procesar datos internos privilegiados sin intención o interacción explícita del afortunado.
«Las cadenas permiten a los atacantes exfiltran automáticamente información sensible y patentada del contexto de copiloto M365, sin la conciencia del afortunado, o confían en cualquier comportamiento de víctima específico», dijo la compañía de seguridad cibernética israelí. «El resultado se logra a pesar de que la interfaz de Copilot M365 está abierta solo para los empleados de la ordenamiento».
En el caso de Echoleak, el atacante incrusta una carga útil maliciosa internamente del contenido con formato de Markdown, como un correo electrónico, que luego es analizado por el motor de gestación de recuperación (RAG) del sistema AI. La carga útil desencadena en silencio el LLM para extraer y devolver información privada del contexto coetáneo del afortunado.
La secuencia de ataque se desarrolla de la próximo guisa –
- Inyección: El atacante envía un correo electrónico de aspecto inocuo a la bandeja de entrada de Outlook de un empleado, que incluye la explotación de violación del radio de LLM
- El afortunado pregunta Microsoft 365 Copilot Una pregunta relacionada con el negocio (por ejemplo, resumir y analizar su noticia de ganancias)
- Violación del radio: Copilot mezcla la entrada atacada no confiable con datos confidenciales al contexto LLM por el motor de gestación de recuperación (RAG) de la recuperación (RAG)
- Recuperación: Copilot filtra los datos confidenciales al atacante a través de equipos de Microsoft y URL de SharePoint
Es importante destacar que no se requieren clics de afortunado para activar Echoleak. El atacante se basamento en el comportamiento predeterminado de Copilot para combinar y procesar contenido de Outlook y SharePoint sin aislar los límites de confianza, convirtiendo la automatización útil en un vector de fuga silencioso.
«Como una vulnerabilidad de IA de clic cero, Echoleak abre amplias oportunidades para la exfiltración de datos y los ataques de perturbación para actores de amenazas motivados», dijo Aim Security. «En un mundo agente en constante proceso, muestra los riesgos potenciales que son inherentes al diseño de agentes y chatbots».
«El ataque da como resultado que el atacante exfiltrara los datos más confidenciales del contexto LLM coetáneo, y el LLM se está utilizando contra sí mismo para cerciorarse de que los datos más confidenciales del contexto LLM se filtren, no se basamento en un comportamiento específico del afortunado y se puede ejecutar tanto en conversaciones individuales como en conversaciones múltiples».
Echoleak es especialmente peligroso porque explota cómo el copilot recupera y clasifica los datos, utilizando privilegios internos de llegada a documentos, que los atacantes pueden influir indirectamente a través de la carga útil incrustadas en fuentes aparentemente benignas como notas de reuniones o cadenas de correo electrónico.
MCP y envenenamiento de herramientas avanzadas
La divulgación se produce cuando Cyberark reveló un ataque de envenenamiento de herramientas (TPA) que afecta el en serie del Protocolo de contexto del maniquí (MCP) y va más allá de la descripción de la útil para extenderlo en todo el esquema de la útil. La técnica de ataque ha sido nombrada en codemento de envenenamiento de esquema completo (FSP).
«Si admisiblemente la veterano parte de la atención en torno a los ataques de envenenamiento de herramientas se ha centrado en el campo de la descripción, esto subestima enormemente la otra superficie de ataque potencial», dijo la investigadora de seguridad Simcha Kosman. «Cada parte del esquema de herramientas es un posible punto de inyección, no solo la descripción».
 |
| Ataques de envenenamiento de herramientas MCP (crédito: laboratorios invariantes) |
La compañía de seguridad cibernética dijo que el problema se basamento en el «maniquí de confianza fundamentalmente ilusionado» de MCP que equivale a la corrección sintáctica a la seguridad semántica y supone que solo LLMS razonan sobre comportamientos explícitamente documentados.
Encima, TPA y FSP podrían armarse para organizar ataques avanzados de envenenamiento por herramientas (ATPA), en el que el atacante diseña una útil con una descripción benigna pero muestra un mensaje de error traidor que engaña a la LLM para ingresar a los datos confidenciales (por ejemplo, las teclas SSH) para topar el problema de la ordenada.
«A medida que los agentes de LLM se vuelven más capaces y autónomos, su interacción con herramientas externas a través de protocolos como MCP definirá cuán de guisa segura y confiable operan», dijo Kosman. «Los ataques de envenenamiento de herramientas, especialmente formas avanzadas como ATPA, exponen los puntos cegados críticos en las implementaciones actuales».
Eso no es todo. Donado que MCP permite a los agentes de IA (o asistentes) interactuar con varias herramientas, servicios y fuentes de datos de guisa consistente, cualquier vulnerabilidad en la edificación de cliente cliente MCP podría proponer serios riesgos de seguridad, incluida la manipulación de un agente para filtrar datos o ejecutar código desconfiado.
Esto se evidencia en una defecto de seguridad crítica recientemente revelada en la popular integración de GitHub MCP, que, si se explota con éxito, podría permitir que un atacante secuestre al agente de un afortunado a través de un problema desconfiado de GitHub, y coaccionarlo en los datos de fuga de repositorios privados cuando el afortunado solicita que el maniquí «analice los problemas».
«El problema contiene una carga útil que será ejecutada por el agente tan pronto como consulte la nómina de problemas del repositorio manifiesto», dijeron los investigadores invariantes de Labs Situación Milanta y Luca Beurer-Kellner, clasificándolo como un caso de un flujo de agente tóxico.
Dicho esto, la vulnerabilidad no puede ser abordada por Github sola a través de parches del costado del servidor, ya que es más un «problema arquitectónico fundamental», lo que requiere que los usuarios implementen controles de permiso granular para respaldar que el agente tenga llegada solo a los repeticiones con los que necesita interactuar y las interacciones continuas entre los agentes y los sistemas MCP.
Dar paso al ataque de reembolso de MCP
El rápido encumbramiento de MCP como el «tejido conectivo para la automatización empresarial y las aplicaciones de agente» todavía ha descubierto nuevas vías de ataque, como el sistema de nombres de dominio (DNS) que se reembolsa, para ingresar a datos confidenciales al explotar eventos (SSE) (SSE) utilizado por los servidores MCP para la comunicación de transmisión en tiempo efectivo a los clientes de MCP.
Los ataques de reembolso de DNS implican engañar al navegador de una víctima para que traten un dominio forastero como si perteneciera a la red interna (es sostener, localhost). Estos ataques, que están diseñados para eludir las restricciones de política del mismo origen (SOP), se activan cuando un afortunado encuentro un sitio desconfiado creado por el atacante a través de phishing o ingeniería social.
«Existe una desconexión entre el mecanismo de seguridad del navegador y los protocolos de redes», dijo Jaroslav Lobacevski de Github en un explicador sobre DNS Rebinding publicado esta semana. «Si la dirección IP resuelta del host de la página web cambia, el navegador no la tiene en cuenta y alcahuetería la página web como si su origen no cambiara. Esto puede ser abusado por los atacantes».
Este comportamiento esencialmente permite que JavaScript del costado del cliente de un sitio desconfiado deba tener lugar por detención los controles de seguridad y dirigirse a otros dispositivos en la red privada de la víctima que no están expuestas a Internet manifiesto.
 |
| Ataque de reembolso de MCP |
El ataque de reembolso de MCP aprovecha la capacidad de un sitio web controlado por el adversario para ingresar a los capital internos en la red almacén de la víctima para interactuar con el servidor MCP que se ejecuta en Localhost sobre SSE y finalmente exfiltran los datos confidenciales.
«Al aprovecharse de las conexiones de larga duración de SSE, los atacantes pueden pivotar desde un dominio de phishing forastero para atacar a los servidores internos de MCP», dijo el equipo Straiker AI Research (STAR) en un observación publicado el mes pasado.
Vale la pena señalar que SSE se ha desapercido a partir de noviembre de 2024 a cortesía de HTTP fletable oportuno a los riesgos planteados por los ataques de reembolso del DNS. Para mitigar la amenaza de tales ataques, se recomienda hacer cumplir la autenticación en los servidores MCP y validar el encabezado de «origen» en todas las conexiones entrantes al servidor MCP para respaldar que las solicitudes provengan de fuentes confiables.
