Una nueva técnica de ataque llamada Echoleak se ha caracterizado como una vulnerabilidad de inteligencia artificial (IA) de «clic cero» que permite que los malos actores exfiltren datos confidenciales de Microsoft 365 (M365) El contexto de Copilot sin ninguna interacción de usuario.
A la vulnerabilidad con calificación crítica se le ha asignado el identificador CVE CVE-2025-32711 (puntaje CVSS: 9.3). No requiere ninguna acción del cliente y ya ha sido abordado por Microsoft. No hay evidencia de que la deficiencia haya sido explotada maliciosamente en la naturaleza.
«La inyección de comandos de IA en el copilot M365 permite a un atacante no autorizado divulgar información sobre una red», dijo la compañía en un aviso publicado el miércoles. Desde entonces se ha agregado a la lista de Microsoft Patch Martes para junio de 2025, llevando el número total de defectos fijos a 68.
AIM Security, que descubrió e informó el problema, dijo que es una instancia de una violación del alcance de un modelo de idioma grande (LLM) que allana el camino para la inyección indirecta, lo que lleva a un comportamiento no deseado.
La violación del alcance de LLM ocurre cuando las instrucciones de un atacante integradas en contenido no confiable, por ejemplo, un correo electrónico enviado desde fuera de una organización, engaña con éxito el sistema de IA para acceder y procesar datos internos privilegiados sin intención o interacción explícita del usuario.
«Las cadenas permiten a los atacantes exfiltran automáticamente información sensible y patentada del contexto de copiloto M365, sin la conciencia del usuario, o confían en cualquier comportamiento de víctima específico», dijo la compañía de seguridad cibernética israelí. «El resultado se logra a pesar de que la interfaz de Copilot M365 está abierta solo para los empleados de la organización».
En el caso de Echoleak, el atacante incrusta una carga útil maliciosa dentro del contenido con formato de Markdown, como un correo electrónico, que luego es analizado por el motor de generación de recuperación (RAG) del sistema AI. La carga útil desencadena en silencio el LLM para extraer y devolver información privada del contexto actual del usuario.
La secuencia de ataque se desarrolla de la siguiente manera –
- Inyección: El atacante envía un correo electrónico de aspecto inocuo a la bandeja de entrada de Outlook de un empleado, que incluye la explotación de violación del alcance de LLM
- El usuario pregunta Microsoft 365 Copilot Una pregunta relacionada con el negocio (por ejemplo, resumir y analizar su informe de ganancias)
- Violación del alcance: Copilot mezcla la entrada atacada no confiable con datos confidenciales al contexto LLM por el motor de generación de recuperación (RAG) de la recuperación (RAG)
- Recuperación: Copilot filtra los datos confidenciales al atacante a través de equipos de Microsoft y URL de SharePoint
Es importante destacar que no se requieren clics de usuario para activar Echoleak. El atacante se basa en el comportamiento predeterminado de Copilot para combinar y procesar contenido de Outlook y SharePoint sin aislar los límites de confianza, convirtiendo la automatización útil en un vector de fuga silencioso.
«Como una vulnerabilidad de IA de clic cero, Echoleak abre amplias oportunidades para la exfiltración de datos y los ataques de extorsión para actores de amenazas motivados», dijo Aim Security. «En un mundo agente en constante evolución, muestra los riesgos potenciales que son inherentes al diseño de agentes y chatbots».
«El ataque da como resultado que el atacante exfiltrara los datos más confidenciales del contexto LLM actual, y el LLM se está utilizando contra sí mismo para asegurarse de que los datos más confidenciales del contexto LLM se filtren, no se basa en un comportamiento específico del usuario y se puede ejecutar tanto en conversaciones individuales como en conversaciones múltiples».
Echoleak es especialmente peligroso porque explota cómo el copilot recupera y clasifica los datos, utilizando privilegios internos de acceso a documentos, que los atacantes pueden influir indirectamente a través de la carga útil incrustadas en fuentes aparentemente benignas como notas de reuniones o cadenas de correo electrónico.
MCP y envenenamiento de herramientas avanzadas
La divulgación se produce cuando Cyberark reveló un ataque de envenenamiento de herramientas (TPA) que afecta el estándar del Protocolo de contexto del modelo (MCP) y va más allá de la descripción de la herramienta para extenderlo en todo el esquema de la herramienta. La técnica de ataque ha sido nombrada en codemento de envenenamiento de esquema completo (FSP).
«Si bien la mayor parte de la atención en torno a los ataques de envenenamiento de herramientas se ha centrado en el campo de la descripción, esto subestima enormemente la otra superficie de ataque potencial», dijo la investigadora de seguridad Simcha Kosman. «Cada parte del esquema de herramientas es un posible punto de inyección, no solo la descripción».
 |
| Ataques de envenenamiento de herramientas MCP (crédito: laboratorios invariantes) |
La compañía de seguridad cibernética dijo que el problema se basa en el «modelo de confianza fundamentalmente optimista» de MCP que equivale a la corrección sintáctica a la seguridad semántica y supone que solo LLMS razonan sobre comportamientos explícitamente documentados.
Además, TPA y FSP podrían armarse para organizar ataques avanzados de envenenamiento por herramientas (ATPA), en el que el atacante diseña una herramienta con una descripción benigna pero muestra un mensaje de error falso que engaña a la LLM para acceder a los datos confidenciales (por ejemplo, las teclas SSH) para abordar el problema de la ordenada.
«A medida que los agentes de LLM se vuelven más capaces y autónomos, su interacción con herramientas externas a través de protocolos como MCP definirá cuán de manera segura y confiable operan», dijo Kosman. «Los ataques de envenenamiento de herramientas, especialmente formas avanzadas como ATPA, exponen los puntos cegados críticos en las implementaciones actuales».
Eso no es todo. Dado que MCP permite a los agentes de IA (o asistentes) interactuar con varias herramientas, servicios y fuentes de datos de manera consistente, cualquier vulnerabilidad en la arquitectura de cliente cliente MCP podría plantear serios riesgos de seguridad, incluida la manipulación de un agente para filtrar datos o ejecutar código malicioso.
Esto se evidencia en una falla de seguridad crítica recientemente revelada en la popular integración de GitHub MCP, que, si se explota con éxito, podría permitir que un atacante secuestre al agente de un usuario a través de un problema malicioso de GitHub, y coaccionarlo en los datos de fuga de repositorios privados cuando el usuario solicita que el modelo «analice los problemas».
«El problema contiene una carga útil que será ejecutada por el agente tan pronto como consulte la lista de problemas del repositorio público», dijeron los investigadores invariantes de Labs Marco Milanta y Luca Beurer-Kellner, clasificándolo como un caso de un flujo de agente tóxico.
Dicho esto, la vulnerabilidad no puede ser abordada por Github sola a través de parches del lado del servidor, ya que es más un «problema arquitectónico fundamental», lo que requiere que los usuarios implementen controles de permiso granular para garantizar que el agente tenga acceso solo a los repeticiones con los que necesita interactuar y las interacciones continuas entre los agentes y los sistemas MCP.
Dar paso al ataque de reembolso de MCP
El rápido ascenso de MCP como el «tejido conectivo para la automatización empresarial y las aplicaciones de agente» también ha abierto nuevas vías de ataque, como el sistema de nombres de dominio (DNS) que se reembolsa, para acceder a datos confidenciales al explotar eventos (SSE) (SSE) utilizado por los servidores MCP para la comunicación de transmisión en tiempo real a los clientes de MCP.
Los ataques de reembolso de DNS implican engañar al navegador de una víctima para que traten un dominio externo como si perteneciera a la red interna (es decir, localhost). Estos ataques, que están diseñados para eludir las restricciones de política del mismo origen (SOP), se activan cuando un usuario visita un sitio malicioso creado por el atacante a través de phishing o ingeniería social.
«Existe una desconexión entre el mecanismo de seguridad del navegador y los protocolos de redes», dijo Jaroslav Lobacevski de Github en un explicador sobre DNS Rebinding publicado esta semana. «Si la dirección IP resuelta del host de la página web cambia, el navegador no la tiene en cuenta y trata la página web como si su origen no cambiara. Esto puede ser abusado por los atacantes».
Este comportamiento esencialmente permite que JavaScript del lado del cliente de un sitio malicioso deba pasar por alto los controles de seguridad y dirigirse a otros dispositivos en la red privada de la víctima que no están expuestas a Internet público.
 |
| Ataque de reembolso de MCP |
El ataque de reembolso de MCP aprovecha la capacidad de un sitio web controlado por el adversario para acceder a los recursos internos en la red local de la víctima para interactuar con el servidor MCP que se ejecuta en Localhost sobre SSE y finalmente exfiltran los datos confidenciales.
«Al abusar de las conexiones de larga duración de SSE, los atacantes pueden pivotar desde un dominio de phishing externo para atacar a los servidores internos de MCP», dijo el equipo Straiker AI Research (STAR) en un análisis publicado el mes pasado.
Vale la pena señalar que SSE se ha desapercido a partir de noviembre de 2024 a favor de HTTP fletable debido a los riesgos planteados por los ataques de reembolso del DNS. Para mitigar la amenaza de tales ataques, se recomienda hacer cumplir la autenticación en los servidores MCP y validar el encabezado de «origen» en todas las conexiones entrantes al servidor MCP para garantizar que las solicitudes provengan de fuentes confiables.