Vulnerabilidade zero-click pode levar a exfiltração de dados de serviços de IA generativa

A Microsoft lançou uma correção para uma vulnerabilidade zero-click na ferramenta de Retrieval-Augmented Generation (RAG) do Microsoft 365 Copilot que podia permitir a exfiltração de dados sensíveis.

A vulnerabilidade (CVE-2025-32711) tem uma criticidade de 9.3 em dez. A Microsoft explicou que esta vulnerabilidade de injeção de comandos de Inteligência Artificial (IA) não terá sido explorada para ciberataques e que os utilizadores não têm de tomar nenhuma ação para a resolver.

A falha permitiria que um atacante extraísse informação potencialmente sensíveis de um utilizador conectado aos serviços Microsoft 365 – seja o Outlook, OneDrive, SharePoint ou Teams – ao enviar um email especialmente criado para ultrapassar várias medidas de segurança.

A prova de conceito de exploração desenvolvida pela Aim Security contorna os classificadores de ataque de injeção de prompt cruzado (XPIA) do Copilot, endereçando as instruções no email ao destinatário em vez do LLM alvo. Os atacantes iriam precisar de contornar a funcionalidade de redação de links do Copilot, que impede que os links externos em markdown apareçam no chat do Copilot. Os investigadores descobriram que os links marcados como referências (por exemplo, [ref] em markdown) não são eliminados, permitindo que sejam apresentados pelo chatbot.

Em vez de induzir o utilizador a carregar num link, o atacante poderia utilizar uma imagem em markdown externa para acionar um pedido GET automatizado para a imagem. No entanto, a política de segurança de conteúdos (CSP) para incorporações de imagens na página do Microsoft 365 Copilot apenas permite imagens de uma lista definida de domínios relacionados com serviços Microsoft.