Resumo
- Uma falha no Microsoft Copilot permitia ataques zero-clique, que não exigem ação da vítima para o roubo de dados.
- A vulnerabilidade explorava a leitura automática de e-mails pelo Copilot, inserindo comandos ocultos que burlavam filtros de segurança.
- Segundo a Aim Security, a Microsoft levou cerca de cinco meses para corrigir a falha e reforçar a segurança do Copilot.
Uma falha de segurança no Microsoft Copilot, batizada de EchoLeak, permitia que invasores roubassem dados sensíveis de empresas com o envio de um único e-mail, sem que a vítima clicasse em nada.
A vulnerabilidade, descoberta pela empresa de segurança Aim Security, é a primeira do tipo zero-clique a ser identificada em um agente de inteligência artificial — sistemas que operam de forma autônoma para executar tarefas. Segundo a Microsoft, o problema já foi corrigido e não afetou clientes.
Como funciona a falha EchoLeak?
Os especialistas da Aim Security afirmam que a falha permitia ao invasor explorar uma das principais funções do agente de IA do Microsoft Copilot: ler e-mails automaticamente para oferecer respostas mais contextualizadas.
Isso possibilitou um ataque do tipo zero-clique, no qual a vítima não precisa clicar em links, abrir anexos ou realizar qualquer ação. Esse tipo de exploração — usada em ferramentas de espionagem como o spyware israelense Pegasus — acontece durante o simples processamento automático de mensagens.
Sendo assim, o hacker podia enviar um e-mail aparentemente inofensivo, mas com comandos ocultos voltados diretamente à IA. Com isso, os comandos passavam pelos filtros da Microsoft criados para detectar ataques conhecidos como injeção de prompt.
O Copilot, ao processar o e-mail para obter contexto, acabava lendo essas instruções ocultas e executando ações sensíveis sem perceber o risco. Um invasor podia induzir a IA a acessar dados recentes da memória, como documentos, e-mails ou mensagens do Teams.
Para enviar os dados ao invasor, o Copilot era induzido a gerar uma resposta que incluía uma imagem em markdown, com um endereço (URL) apontando para um servidor controlado pelo hacker. Ele embutia os dados roubados como parâmetros nesse link.
Ao carregar automaticamente a imagem — algo feito pelo navegador da vítima — o sistema enviava os dados sensíveis ao servidor externo, sem qualquer interação do usuário.
A Aim Security afirma ainda que conseguiu burlar as políticas de segurança de conteúdo (CSP) da Microsoft ao utilizar uma URL do próprio Microsoft Teams, que não exigia autenticação adicional. Para completar o ataque, o invasor instruía o Copilot a ocultar qualquer referência ao e-mail original em suas respostas, o que dificultava o rastreamento e a detecção da falha.
Microsoft levou meses para corrigir
A Aim Security descobriu a falha em janeiro deste ano e reportou à Microsoft por meio do Security Response Center. Os especialistas afirmam que o processo de correção levou cerca de cinco meses.
De acordo com a empresa de segurança, o prazo se deve à natureza inédita da falha na arquitetura do Copilot, o que exigiu tempo até que as equipes certas da Microsoft fossem acionadas. A correção também demandou ajustes nas camadas de segurança da ferramenta.
A Microsoft confirmou à revista Fortune que corrigiu o problema e agradeceu à Aim pelo reporte da falha. A companhia também afirmou estar implementando defesas adicionais para reforçar a segurança do produto.
Brecha nos agentes de IA?
Embora a Microsoft tenha resolvido a falha no Copilot, os pesquisadores da empresa de segurança alertam que o problema aponta para uma brecha mais ampla em agentes baseados em IA generativa.
Segundo a Aim Security, o EchoLeak revelou como esses sistemas podem processar instruções de fontes externas, como e-mails, da mesma forma que comandos legítimos do usuário. A incapacidade de distinguir esses contextos torna os agentes vulneráveis a ataques discretos e difíceis de rastrear.
Essa classe de falhas é descrita pelos pesquisadores como uma “violação de escopo de LLM”, em que o modelo é induzido a acessar ou expor dados além do que seria permitido pelo seu design original.
A Aim defende que a arquitetura dos sistemas de IA precisa ser repensada, com uma separação mais clara entre entradas confiáveis e não confiáveis. Sem essa distinção, alerta a empresa, o risco de ataques zero-clique tende a crescer à medida que agentes como o Copilot ganham mais autonomia em ambientes corporativos.
Com informações da Fortune e Aim Security
Fonte: Tecnoblog
