Vulnerabilidad CVE-2025-32711: La falla «EchoLeak» en Microsoft 365 Copilot podría habilitar un ataque de cero clic en un agente de IA

Poco después de la divulgación de una vulnerabilidad crítica de RCE de día cero en Microsoft Windows, conocida como CVE-2025-33053, otro problema de seguridad que afecta al producto de Microsoft llega a los titulares. Los investigadores han descubierto recientemente CVE-2025-32711, apodado «EchoLeak», una vulnerabilidad crítica en el AI de Microsoft Copilot que permite a los atacantes robar datos sensibles a través del correo electrónico, sin ninguna interacción del usuario. Este ataque explota una “violación de alcance de LLM” y marca el primer ataque sin clic conocido en un agente de AI.

Con más de 1.4 mil millones de dispositivos ejecutando Windows y el uso extendido de plataformas como Azure y Microsoft 365, los productos de Microsoft juegan un papel central en la infraestructura digital global. El Informe de Vulnerabilidades de Microsoft BeyondTrust 2025 destacó un récord de 1,360 vulnerabilidades de Microsoft divulgadas en 2024, un aumento del 11% respecto al pico anterior. Esto refleja el crecimiento continuo de la superficie de ataque y la importancia de mantenerse al día con las amenazas en evolución.

Además, con la rápida adopción de AI en diversas industrias, los ciberdelincuentes se apresuran a explotarla, utilizando herramientas avanzadas para acelerar y sofisticar sus ataques. Como se destaca en el Informe de Seguridad AI de Check Point Research 2025, los actores malintencionados utilizan cada vez más la AI para suplantación de identidad con deepfake, creación automatizada de malware, LLMs con jailbreak y campañas de desinformación potenciadas por GenAI, señalando un peligroso cambio en el panorama de amenazas cibernéticas.

El descubrimiento de EchoLeak (CVE-2025-32711) subraya la creciente intersección entre las vulnerabilidades de software tradicionales y las amenazas emergentes de AI, lo que significa que los defensores cibernéticos deben ajustar las estrategias de defensa para reaccionar proactivamente ante las nuevas amenazas. 

Regístrese en la Plataforma SOC Prime para acceder a la fuente de amenazas activas globales, que ofrece inteligencia en tiempo real sobre amenazas cibernéticas y algoritmos de detección curados para abordar amenazas emergentes. Los equipos de seguridad pueden explorar una extensa colección de reglas Sigma enriquecidas con contexto marcadas con “CVE”, respaldadas por una suite completa de productos para detección impulsada por AI, caza de amenazas automatizada y detección avanzada de amenazas. 

Todas las reglas son compatibles con múltiples formatos SIEM, EDR y Data Lake y están mapeadas al marco de trabajo MITRE ATT&CK . Además, cada regla está enriquecida con CTI enlaces, cronologías de ataques, configuraciones de auditoría, recomendaciones de triaje y más contexto relevante. Presione el botón Explorar Detecciones para ver toda la pila de detección para una defensa proactiva contra vulnerabilidades críticas filtradas por la etiqueta “CVE”.

Explorar Detecciones

Los ingenieros de seguridad también pueden aprovechar Uncoder AI—una AI privada, no agente, diseñada específicamente para la ingeniería de detección informada por amenazas. Con Uncoder, los defensores pueden convertir automáticamente los IOCs en consultas de caza procesables, crear reglas de detección a partir de informes de amenazas en bruto, habilitar la predicción de etiquetas ATT&CK, aprovechar la optimización de consultas impulsada por AI y traducir contenido de detección en múltiples plataformas.

Análisis de CVE-2025-32711

Aim Labs ha identificado una vulnerabilidad crítica de AI sin clic en Microsoft 365 Copilot y ha informado varias cadenas de ataque asociadas al Centro de Respuesta de Seguridad de Microsoft. La falla, rastreada como CVE-2025-32711 y apodada “EchoLeak”, se considera crítica con una puntuación CVSS de 9.3.

El ataque aprovecha un método de explotación recientemente descubierto, llamado “Violación de Alcance LLM”, donde una entrada externa y no confiable podría manipular el modelo AI para acceder y filtrar datos confidenciales. La información potencialmente expuesta incluye cualquier cosa dentro del alcance de acceso de Copilot, como registros de chat, archivos de OneDrive, contenido de SharePoint, mensajes de Teams y otros datos organizacionales precargados. Esto marca un avance significativo en la comprensión de cómo los actores de amenazas pueden explotar el funcionamiento interno de los sistemas AI. 

Las cadenas de ataque identificadas permiten la exfiltración automática de datos sensibles y propietarios desde dentro del entorno M365 Copilot, sin requerir interacción o comportamiento específico del usuario. Notablemente, esto ocurre a pesar de que la interfaz de Copilot está restringida al uso organizacional interno. Los actores de amenazas solo necesitan enviar un correo electrónico, sin importar la identidad del remitente, para desencadenar el exploit. Los investigadores enfatizan la gravedad de la falla, indicando que la mayoría de las organizaciones podrían ser vulnerables debido a la configuración predeterminada de Copilot, aunque no hay evidencia de explotación real.

Como una vulnerabilidad sin clic, EchoLeak presenta serias implicaciones para el robo de datos y la extorsión, destacando los riesgos más amplios vinculados a la arquitectura de agentes de AI y chatbots en sistemas agente. Este ataque representa un método de explotación innovador y práctico que apunta a aplicaciones LLM, donde los adversarios pueden armar el modelo contra sí mismo para extraer los datos más sensibles de su contexto. En su núcleo, el ataque combina fallos de seguridad tradicionales, como la omisión de CSP, junto con vulnerabilidades específicas de AI como la inyección de instrucciones. Críticamente, destaca las debilidades de diseño sistémicas presentes en muchos sistemas RAG y agentes de AI. 

Microsoft confirmó en su asesoría correspondiente que el problema ha sido completamente resuelto y no se requiere ninguna acción adicional por parte de los clientes.  Como medidas de mitigación potencial para CVE-2025-32711, el proveedor también ofrece etiquetas DLP para bloquear el procesamiento de correos electrónicos externos, junto con una nueva característica del Plan de M365 que restringe a Copilot el acceso a correos electrónicos etiquetados con etiquetas de sensibilidad. Sin embargo, habilitar estos controles puede reducir la funcionalidad de Copilot, ya que limita el acceso a contenido externo o sensible. Además, los investigadores de Aim Labs han creado barreras en tiempo real diseñadas para prevenir vulnerabilidades de violación de alcance de LLM. Estas protecciones pueden aplicarse ampliamente a través de agentes de AI y aplicaciones basadas en RAG, no limitadas a M365 Copilot. 

Los riesgos de explotación se extienden más allá de una sola plataforma, enfatizando la necesidad urgente de defensas proactivas, modelado riguroso de amenazas y la implementación de salvaguardas robustas en aplicaciones impulsadas por AI. Para adelantarse a las amenazas cada vez más sofisticadas impulsadas por la rápida adopción y mal uso de AI por parte de los adversarios, la Plataforma SOC Prime ofrece una suite de productos lista para la empresa que fusiona AI ética, automatización, inteligencia de amenazas en tiempo real, y está construida sobre principios de privacidad primero y confianza cero, empoderando a las organizaciones para fortalecer su resiliencia de ciberseguridad.