Una nuova e sofisticata tecnica di attacco, denominata EchoLeak, è stata identificata come una vulnerabilità "zero-click" basata sull'intelligenza artificiale (AI) che consente ad attori malevoli di esfiltrare dati sensibili dal contesto di Microsoft 365 (M365) Copilot senza richiedere alcuna interazione da parte dell'utente. Questa scoperta evidenzia le crescenti sfide di sicurezza poste dall'integrazione dell'AI nei sistemi aziendali critici.

La vulnerabilità, classificata come critica, ha ricevuto l'identificatore CVE CVE-2025-32711 con un punteggio CVSS di 9.3, indicando un'elevata gravità. È importante sottolineare che non richiede alcuna azione da parte del cliente ed è stata prontamente risolta da Microsoft. Al momento, non vi sono prove che questa vulnerabilità sia stata sfruttata in modo dannoso "in the wild".

"L'iniezione di comandi AI in M365 Copilot consente a un attaccante non autorizzato di divulgare informazioni attraverso una rete," ha dichiarato l'azienda in un avviso pubblicato mercoledì. La correzione è stata successivamente aggiunta all'elenco della Microsoft Patch Tuesday per giugno 2025, portando il numero totale di difetti risolti a 68 in questo ciclo di aggiornamenti.

Aim Security, l'azienda israeliana di cybersecurity che ha scoperto e segnalato il problema, lo ha descritto come un'istanza di "violazione dell'ambito del modello linguistico di grandi dimensioni" (LLM Scope Violation), la quale apre la strada a un'iniezione indiretta di prompt (indirect prompt injection), che a sua volta può portare a comportamenti non intenzionali del sistema.

La violazione dell'ambito LLM e il funzionamento di EchoLeak

Una violazione dell'ambito LLM si verifica quando le istruzioni di un attaccante, incorporate in contenuti non attendibili – come un'email inviata dall'esterno di un'organizzazione – riescono a ingannare il sistema AI, inducendolo ad accedere ed elaborare dati interni privilegiati senza l'intento o l'interazione esplicita dell'utente.

"Queste catene di attacco consentono agli attaccanti di esfiltrare automaticamente informazioni sensibili e proprietarie dal contesto di M365 Copilot, senza la consapevolezza dell'utente o la necessità di alcun comportamento specifico della vittima," ha spiegato Aim Security. "Il risultato è raggiunto nonostante l'interfaccia di M365 Copilot sia aperta solo ai dipendenti dell'organizzazione."

Nel caso di EchoLeak, l'attaccante incorpora un payload di prompt malevolo all'interno di un contenuto formattato in markdown, ad esempio un'email. Questo contenuto viene poi analizzato dal motore di generazione aumentata del recupero (RAG - Retrieval-Augmented Generation) del sistema AI. Il payload attiva silenziosamente l'LLM per estrarre e restituire informazioni private dal contesto attuale dell'utente.

La sequenza di attacco si svolge come segue:

  • Iniezione: L'attaccante invia un'email dall'aspetto innocuo alla casella di posta elettronica Outlook di un dipendente, che include l'exploit di violazione dell'ambito LLM.
  • L'utente chiede: L'utente pone a Microsoft 365 Copilot una domanda relativa al business (ad esempio, riassumere e analizzare il report sui guadagni).
  • Violazione dell'ambito: Copilot mescola l'input dell'attaccante non attendibile con dati sensibili nel contesto LLM tramite il motore di generazione aumentata del recupero (RAG).
  • Recupero: Copilot fa trapelare i dati sensibili all'attaccante tramite URL di Microsoft Teams e SharePoint.

È cruciale sottolineare che non è richiesto alcun clic da parte dell'utente per attivare EchoLeak. L'attaccante si basa sul comportamento predefinito di Copilot di combinare ed elaborare contenuti da Outlook e SharePoint senza isolare i confini di fiducia, trasformando un'utile automazione in un vettore di fuga silenzioso.

"Come vulnerabilità AI zero-click, EchoLeak apre ampie opportunità per l'esfiltrazione di dati e attacchi di estorsione per attori malevoli motivati," ha dichiarato Aim Security. "In un mondo sempre più agentico, ciò mette in luce i potenziali rischi intrinseci nella progettazione di agenti e chatbot." L'azienda ha aggiunto che "l'attacco consente all'attaccante di esfiltrare i dati più sensibili dal contesto LLM attuale – e l'LLM viene utilizzato contro se stesso per assicurare che i dati PIÙ sensibili dal contesto LLM vengano divulgati, non si basa su specifici comportamenti dell'utente e può essere eseguito sia in conversazioni a turno singolo che a più turni."

EchoLeak è particolarmente pericoloso perché sfrutta il modo in cui Copilot recupera e classifica i dati, utilizzando i privilegi di accesso ai documenti interni, che gli attaccanti possono influenzare indirettamente tramite prompt payload incorporati in fonti apparentemente benigne come note di riunione o catene di email.

MCP e Attacchi Avanzati di Tool Poisoning

La divulgazione di EchoLeak giunge mentre CyberArk ha rivelato un attacco di "tool poisoning" (TPA - Tool Poisoning Attack) che interessa lo standard Model Context Protocol (MCP) e si estende oltre la semplice descrizione dello strumento per abbracciare l'intero schema dello stesso. Questa tecnica di attacco è stata soprannominata Full-Schema Poisoning (FSP).

"Mentre la maggior parte dell'attenzione sugli attacchi di tool poisoning si è concentrata sul campo della descrizione, questo sottovaluta enormemente l'altra potenziale superficie di attacco," ha affermato il ricercatore di sicurezza Simcha Kosman. "Ogni parte dello schema dello strumento è un potenziale punto di iniezione, non solo la descrizione."

Gli attacchi di tool poisoning MCP (Credito: Invariant Labs) sono radicati in quello che CyberArk definisce un "modello di fiducia fondamentalmente ottimistico" del MCP, che equipara la correttezza sintattica alla sicurezza semantica e assume che gli LLM ragionino solo su comportamenti esplicitamente documentati.

Inoltre, TPA e FSP potrebbero essere armati per mettere in scena attacchi avanzati di tool poisoning (ATPA - Advanced Tool Poisoning Attacks), in cui l'attaccante progetta uno strumento con una descrizione benigna ma visualizza un messaggio di errore falso che inganna l'LLM inducendolo ad accedere a dati sensibili (ad esempio, chiavi SSH) al fine di risolvere il presunto problema.

"Man mano che gli agenti LLM diventano più capaci e autonomi, la loro interazione con strumenti esterni attraverso protocolli come MCP definirà quanto siano sicuri e affidabili nel loro funzionamento," ha detto Kosman. "Gli attacchi di tool poisoning – specialmente le forme avanzate come ATPA – espongono punti ciechi critici nelle implementazioni attuali."

Non è tutto. Dato che MCP consente agli agenti AI (o assistenti) di interagire con vari strumenti, servizi e fonti di dati in modo coerente, qualsiasi vulnerabilità nell'architettura client-server di MCP potrebbe porre gravi rischi per la sicurezza, inclusa la manipolazione di un agente per la divulgazione di dati o l'esecuzione di codice malevolo.

Falla critica nell'integrazione GitHub MCP

Questo è evidenziato da una recente falla di sicurezza critica scoperta nella popolare integrazione GitHub MCP, che, se sfruttata con successo, potrebbe consentire a un attaccante di dirottare l'agente di un utente tramite un'issue GitHub malevola e costringerlo a divulgare dati da repository privati quando l'utente chiede al modello di "dare un'occhiata alle issue".

"L'issue contiene un payload che verrà eseguito dall'agente non appena interrogherà l'elenco delle issue del repository pubblico," hanno affermato i ricercatori di Invariant Labs Marco Milanta e Luca Beurer-Kellner, classificando il caso come un "flusso di agente tossico".

Tuttavia, questa vulnerabilità non può essere risolta da GitHub da solo tramite patch lato server, poiché si tratta più di un "problema architettonico fondamentale". Ciò rende necessario che gli utenti implementino controlli granulari delle autorizzazioni per garantire che l'agente abbia accesso solo ai repository con cui deve interagire e che auditino continuamente le interazioni tra agenti e sistemi MCP.

Spazio agli attacchi di MCP Rebinding

La rapida ascesa di MCP come "tessuto connettivo per l'automazione aziendale e le applicazioni agentiche" ha anche aperto nuove vie di attacco, come il DNS rebinding, per accedere a dati sensibili sfruttando gli Server-Sent Events (SSE), un protocollo utilizzato dai server MCP per la comunicazione di streaming in tempo reale ai client MCP.

Attacchi DNS Rebinding spiegati

Gli attacchi di DNS rebinding implicano l'inganno del browser di una vittima per fargli trattare un dominio esterno come se appartenesse alla rete interna (ad esempio, localhost). Questi attacchi, progettati per aggirare le restrizioni della same-origin policy (SOP), vengono attivati quando un utente visita un sito malevolo impostato dall'attaccante tramite phishing o ingegneria sociale.

"C'è una disconnessione tra il meccanismo di sicurezza del browser e i protocolli di rete," ha spiegato Jaroslav Lobacevski di GitHub in un chiarimento sul DNS rebinding pubblicato questa settimana. "Se l'indirizzo IP risolto dell'host della pagina web cambia, il browser non ne tiene conto e tratta la pagina web come se la sua origine non fosse cambiata. Questo può essere abusato dagli attaccanti."

Questo comportamento consente essenzialmente al JavaScript lato client di un sito malevolo di bypassare i controlli di sicurezza e di prendere di mira altri dispositivi sulla rete privata della vittima che non sono esposti a internet pubblico.

L'attacco di MCP Rebinding

L'attacco di MCP rebinding sfrutta la capacità di un sito web controllato da un avversario di accedere a risorse interne sulla rete locale della vittima per interagire con il server MCP in esecuzione localmente. Questa tecnica, combinata con la fiducia implicita che MCP può stabilire con gli agenti, rappresenta un significativo rischio per la sicurezza delle informazioni aziendali e la sovranità dei dati.