L'attacco AI Zero-Click di EchoLeak in Microsoft Copilot espone i dati aziendali

L'azienda di sicurezza informatica Aim Labs ha scoperto un nuovo grave problema di sicurezza, denominato EchoLeak, che colpisce Microsoft 365 (M365) Copilot , un popolare assistente AI. Questa falla è una vulnerabilità zero-click, il che significa che gli aggressori possono rubare informazioni aziendali sensibili senza l'interazione dell'utente.

Aim Labs ha condiviso i dettagli di questa vulnerabilità e di come può essere sfruttata con il team di sicurezza di Microsoft e, finora, non è a conoscenza di alcun cliente interessato da questa nuova minaccia.

Per vostra informazione, M365 Copilot è un chatbot basato su RAG, il che significa che raccoglie informazioni dall'ambiente aziendale di un utente, come email, file su OneDrive, siti di SharePoint e chat di Teams, per rispondere alle sue domande. Sebbene Copilot sia progettato per accedere solo ai file per i quali l'utente dispone dell'autorizzazione, questi file possono comunque contenere dati aziendali privati ​​o segreti.

Il problema principale di EchoLeak è un nuovo tipo di attacco che Aim Labs chiama LLM Scope Violation. Questo si verifica quando le istruzioni di un aggressore, inviate tramite un'email non attendibile, inducono l'IA (il Large Language Model, o LLM) ad accedere erroneamente a dati aziendali privati. In sostanza, ciò fa sì che l'IA violi le proprie regole su quali informazioni le sia consentito accedere. Aim Labs descrive questo fenomeno come una "email non privilegiata" in grado in qualche modo di "relazionarsi con dati privilegiati".

L'attacco inizia semplicemente quando la vittima riceve un'email, scritta in modo intelligente da sembrare istruzioni per il destinatario, non per l'IA. Questo trucco consente di superare i filtri di sicurezza di Microsoft, chiamati classificatori XPIA, che bloccano le istruzioni IA dannose. Una volta letta l'email da Copilot, quest'ultimo può essere ingannato e indotto a inviare informazioni sensibili al di fuori della rete aziendale.

Aim Labs ha spiegato che per ottenere i dati, hanno dovuto trovare modi per aggirare le difese di Copilot, come i suoi tentativi di nascondere i link esterni e controllare quali dati potevano essere inviati. Hanno trovato metodi ingegnosi, sfruttando il modo in cui vengono gestiti link e immagini, e persino il modo in cui SharePoint e Microsoft Teams gestiscono gli URL, per inviare segretamente dati al server dell'attaccante. Ad esempio, hanno trovato un modo in cui uno specifico URL di Microsoft Teams poteva essere utilizzato per recuperare informazioni segrete senza alcuna azione da parte dell'utente.

Questa scoperta dimostra che esistono problemi di progettazione generali in molti chatbot e agenti di intelligenza artificiale . A differenza di ricerche precedenti, Aim Labs ha dimostrato un modo pratico per utilizzare questo attacco per rubare dati molto sensibili. L'attacco non richiede nemmeno che l'utente interagisca con Copilot.

Aim Labs ha anche discusso della possibilità di utilizzare la tecnica RAG spraying per consentire agli aggressori di intercettare più spesso le email dannose da Copilot, anche quando gli utenti richiedono informazioni su argomenti diversi. L'invio di email molto lunghe, suddivise in più parti, aumenta la probabilità che una parte sia pertinente alla query di un utente. Per ora, le organizzazioni che utilizzano M365 Copilot dovrebbero essere consapevoli di questo nuovo tipo di minaccia.

Ensar Seker , CISO di SOCRadar, avverte che i risultati di EchoLeak di Aim Labs rivelano una grave lacuna nella sicurezza dell'intelligenza artificiale. L'exploit mostra come gli aggressori possano esfiltrare dati da Microsoft 365 Copilot con una semplice email, senza richiedere alcuna interazione da parte dell'utente. Aggirando i filtri e sfruttando le violazioni dell'ambito LLM, evidenzia rischi più profondi nella progettazione degli agenti di intelligenza artificiale.

Seker esorta le organizzazioni a trattare gli assistenti AI come infrastrutture critiche, ad applicare controlli di input più rigorosi e a disattivare funzionalità come l'inserimento di e-mail esterne per prevenirne gli abusi.