CVE-2025-32711

Nome do Software Vulnerável e Versões Afetadas Microsoft 365 Copilot (versões afetadas não especificadas)

Descrição EchoLeak é um problema crítico de zero-click no Microsoft 365 Copilot que permite que um invasor remoto não autorizado exfiltre dados organizacionais sensíveis do OneDrive, SharePoint e Teams sem qualquer interação do usuário. O ataque utiliza a injeção indireta de prompts, onde um e-mail elaborado contendo instruções ocultas é enviado a um alvo. Quando o usuário posteriormente consulta o Copilot para tarefas rotineiras, o sistema recupera o e-mail malicioso em seu contexto via Microsoft Graph e segue as instruções para coletar dados internos. Esses dados são então exfiltrados silenciosamente para o servidor do invasor, sendo incorporados em links ou imagens de referência, ignorando as Políticas de Segurança de Conteúdo (CSP) por meio de um proxy confiável do Microsoft Teams e utilizando ASCII smuggling. O problema decorre da falta de sanitização de dados no nível de controle e de violações de escopo no mecanismo de Geração Aumentada de Recuperação (RAG), que mistura entradas não confiáveis com dados internos.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.