Microsoft · M365 Copilot · CVE-2025-32711
**Nome do Software Vulnerável e Versões Afetadas**
Microsoft 365 Copilot (versões afetadas não especificadas)
**Descrição**
EchoLeak é um problema crítico de zero-click no Microsoft 365 Copilot que permite que um invasor remoto não autorizado exfiltre dados organizacionais sensíveis do OneDrive, SharePoint e Teams sem qualquer interação do usuário. O ataque utiliza a injeção indireta de prompts, onde um e-mail elaborado contendo instruções ocultas é enviado a um alvo. Quando o usuário posteriormente consulta o Copilot para tarefas rotineiras, o sistema recupera o e-mail malicioso em seu contexto via Microsoft Graph e segue as instruções para coletar dados internos. Esses dados são então exfiltrados silenciosamente para o servidor do invasor, sendo incorporados em links ou imagens de referência, ignorando as Políticas de Segurança de Conteúdo (CSP) por meio de um proxy confiável do Microsoft Teams e utilizando ASCII smuggling. O problema decorre da falta de sanitização de dados no nível de controle e de violações de escopo no mecanismo de Geração Aumentada de Recuperação (RAG), que mistura entradas não confiáveis com dados internos.
**Recomendações**
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.