Blog

Falha crítica EchoLeak no Copilot do Microsoft 365

Escrito por LC Sec | 13/06/2025 11:40:54
Infraestrutura & Patches

Falha crítica EchoLeak no Copilot do Microsoft 365 permite vazamento

A falha crítica EchoLeak no Microsoft 365 Copilot permite o vazamento de dados sensíveis sem interação do usuário. Identificada como CVE-2025-32711, a vulnerabilidade explora uma violação de escopo...

Navegação

O que é a falha EchoLeak? Como funciona Sinais de alerta / Como identificar O que fazer agora / Como se proteger Prevenção / Boas práticas

Resumo rápido

A falha crítica EchoLeak no Microsoft 365 Copilot permite o vazamento de dados sensíveis sem interação do usuário. Identificada como CVE-2025-32711, a vulnerabilidade explora uma violação de escopo e pode exfiltrar informações através de e-mails maliciosos. A Microsoft já lançou uma correção para o problema.

Neste artigo você vai aprender:

  • O que é a falha EchoLeak no Microsoft 365 Copilot.
  • Como funciona a exploração da vulnerabilidade.
  • Sinais de alerta para identificar possíveis ataques.
  • O que fazer para se proteger contra essa falha.
  • Boas práticas para prevenir futuros riscos de segurança.

O que é a falha EchoLeak?

Em 11 de junho de 2025, pesquisadores da Aim Security descobriram uma falha crítica “zero-click” no Microsoft 365 Copilot, batizada de EchoLeak. Esse problema permitia a extração de dados sensíveis sem qualquer interação do usuário.

Como funciona

EchoLeak, identificado como CVE-2025-32711 com pontuação 9,3 (CVSS), explora uma violação de escopo do LLM. Um invasor só precisava enviar um e-mail especialmente criado; ao processar esse e-mail, o Copilot poderia misturar dados da organização (como e-mails, documentos do OneDrive, SharePoint ou histórico do Teams) e exfiltrá-los via URLs, sem que o usuário precisasse clicar em nada.

O ataque utilizava formatos de markdown que burlavam filtros (XPIA) e, com suporte de GET automático para imagens, enviava dados a servidores controlados pelo invasor — tudo sem interação humana intermediária. Embora nenhum caso de aproveitamento real tenha sido registrado até agora, a falha expõe um risco grave em sistemas que integram IA com dados corporativos.

Sinais de alerta / Como identificar

Fique atento a comportamentos anômalos em sistemas que utilizam IA, especialmente no Microsoft 365. A monitorização das URLs geradas pelo Copilot no Teams e SharePoint pode ajudar a identificar tentativas de exfiltração de dados.

O que fazer agora / Como se proteger

A Microsoft lançou a correção no Patch Tuesday de junho de 2025 e informou que nenhuma ação adicional era necessária pelos clientes.

Prevenção / Boas práticas

  1. Aplique imediatamente os patches do Patch Tuesday de junho – o problema já foi resolvido pela Microsoft.
  2. Desative ingestão automática de e-mails externos pelo Copilot ou aplique etiquetas/detectores de DLP para e-mails suspeitos.
  3. Implemente filtros de prompt level que bloqueiem links e imagens estruturadas não confiáveis.
  4. Monitore URLs gerados por Copilot no Teams e SharePoint para identificar comportamentos anômalos.

A falha EchoLeak demonstra que agentes de IA integrados ao Microsoft 365 podem ser explorados passivamente para extrair dados sensíveis. A proteção depende de atualizações imediatas, filtragem de entradas automatizadas e monitoramento rigoroso dos dados processados.

Reforce sua segurança em IA corporativa

Para garantir uma governança eficaz, conheça os serviços completos da LC SEC.

Falar com especialista
Visualizar publicação completa