Vulnerabilità CVE-2025-32711: Difetto “EchoLeak” in Microsoft 365 Copilot Potrebbe Abilitare un Attacco Zero-Click su un Agente AI
Subito dopo la divulgazione di una vulnerabilità critica di esecuzione di codice in modalità remota senza interazione nota in Microsoft Windows, conosciuta come CVE-2025-33053, un altro problema di sicurezza che interessa il prodotto Microsoft balza agli onori della cronaca. I ricercatori hanno recentemente scoperto CVE-2025-32711, soprannominato “EchoLeak”, una vulnerabilità critica nell’AI Microsoft Copilot che consente agli aggressori di rubare dati sensibili via email, senza alcuna interazione dell’utente. Questo attacco sfrutta una “violazione dell’ambito LLM” e segna il primo attacco zero-click noto su un agente AI.
Con oltre 1,4 miliardi di dispositivi che eseguono Windows e l’uso diffuso di piattaforme come Azure e Microsoft 365, i prodotti Microsoft svolgono un ruolo centrale nell’infrastruttura digitale globale. Il 2025 BeyondTrust Microsoft Vulnerabilities Report ha evidenziato un record di 1.360 vulnerabilità Microsoft divulgate nel 2024, un aumento dell’11% rispetto al picco precedente. Questo riflette la crescita continua della superficie di attacco e l’importanza di mantenersi al passo con le minacce in evoluzione.
Inoltre, con l’adozione rapida dell’intelligenza artificiale in vari settori, i criminali informatici sono veloci a sfruttarla—trasformando strumenti avanzati in armi per accelerare e sofisticare i loro attacchi. Come evidenziato nel Check Point Research’s AI Security Report 2025, gli attori delle minacce usano sempre più l’IA per impersonificazioni deepfake, creazione automatizzata di malware, LLM jailbroken e campagne di disinformazione potenziate da GenAI, segnalando un pericoloso cambiamento nel panorama delle minacce informatiche.
La scoperta di EchoLeak (CVE-2025-32711) evidenzia l’intersezione crescente tra vulnerabilità software tradizionali e minacce emergenti derivate dall’IA, il che significa che i difensori informatici dovrebbero adeguare le strategie di difesa per reagire proattivamente a nuove minacce.
Iscriviti alla piattaforma SOC Prime per accedere al feed globale delle minacce attive, che offre intelligence sulle minacce informatiche in tempo reale e algoritmi di rilevamento curati per affrontare le minacce emergenti. I team di sicurezza possono esplorare un’ampia raccolta di regole Sigma arricchite di contesto etichettate con “CVE”, supportate da una suite completa di prodotti per l’ingegneria del rilevamento potenziata dall’IA, caccia alle minacce automatizzata e rilevamento avanzato delle minacce.
Tutte le regole sono compatibili con più formati SIEM, EDR e Data Lake e mappate al MITRE ATT&CK framework. Inoltre, ciascuna regola è arricchita con CTI link, cronologie degli attacchi, configurazioni di audit, raccomandazioni di triage e altro contesto rilevante. Premi il pulsante Esplora Rilevamenti per vedere l’intero stack di rilevamento per una difesa proattiva contro vulnerabilità critiche filtrate dal tag “CVE”.
Gli ingegneri della sicurezza possono anche sfruttare Uncoder AI—un’IA privata e non agentica costruita appositamente per l’ingegneria del rilevamento informato sulle minacce. Con Uncoder, i difensori possono convertire automaticamente gli IOCs in query per la caccia alle minacce, creare regole di rilevamento da rapporti grezzi sulle minacce, abilitare la previsione dei tag ATT&CK, sfruttare l’ottimizzazione della query guidata dall’IA e tradurre contenuti di rilevamento su più piattaforme.
Analisi CVE-2025-32711
Aim Labs ha identificato una vulnerabilità AI zero-click critica in Microsoft 365 Copilot e ha riportato diverse catene di attacco associate al Microsoft’s Security Response Center. Il difetto, tracciato come CVE-2025-32711 e soprannominato “EchoLeak”, è considerato critico con un punteggio CVSS di 9.3.
L’attacco sfrutta un metodo di sfruttamento appena scoperto, chiamato “Violazione dell’Ambito LLM”, in cui input esterni non fidati potrebbero manipolare il modello AI per accedere e divulgare dati riservati. Le informazioni potenzialmente esposte comprendevano tutto ciò che rientra nell’ambito di accesso di Copilot, come registri delle chat, file di OneDrive, contenuti di SharePoint, messaggi di Teams e altri dati organizzativi precaricati. Questo segna un significativo progresso nella comprensione di come gli attori delle minacce possono sfruttare il funzionamento interno dei sistemi AI.
Le catene di attacco identificate consentono l’esfiltrazione automatica di dati sensibili e proprietari dall’interno dell’ambiente M365 Copilot, senza richiedere alcuna interazione dell’utente o comportamento specifico. Notoriamente, questo avviene sebbene l’interfaccia di Copilot sia limitata all’uso organizzativo interno. Gli attori delle minacce hanno solo bisogno di inviare un email, indipendentemente dall’identità del mittente, per innescare l’exploit. I ricercatori sottolineano la gravità del difetto, indicando che la maggior parte delle organizzazioni potrebbe essere vulnerabile a causa della configurazione predefinita di Copilot, sebbene non ci siano prove di un’effettiva sfruttamento.
Come vulnerabilità zero-click, EchoLeak presenta serie implicazioni per il furto di dati e l’estorsione, evidenziando i rischi più ampi legati all’architettura degli agenti AI e dei chatbot in sistemi agentici. Questo attacco rappresenta un metodo di sfruttamento innovativo e pratico mirato alle applicazioni LLM, dove gli avversari possono armare il modello contro se stesso per estrarre i dati più sensibili dal suo contesto. Al suo cuore, l’attacco combina difetti di sicurezza tradizionali, come il bypass CSP, insieme a vulnerabilità specifiche dell’IA come l’iniezione di prompt. Criticamente, evidenzia le debolezze sistemiche nella progettazione presenti in molti sistemi RAG e agenti AI.
Microsoft ha confermato nel suo avviso corrispondente che il problema è stato completamente risolto e non è richiesta alcuna ulteriore azione da parte dei clienti. Come potenziali misure di mitigazione CVE-2025-32711, il venditore offre anche tag DLP per bloccare l’elaborazione di email esterne, insieme a una nuova funzione M365 Roadmap che limita Copilot dall’accesso a email etichettate con tag di sensibilità. Tuttavia, abilitare questi controlli potrebbe ridurre la funzionalità di Copilot, poiché limita l’accesso a contenuti esterni o sensibili. Inoltre, i ricercatori di Aim Labs hanno creato barriere di protezione in tempo reale progettate per prevenire violazioni dell’ambito LLM. Queste protezioni possono essere applicate ampiamente su agenti AI e applicazioni basate su RAG, non limitati a M365 Copilot.
I rischi di sfruttamento si estendono ben oltre una singola piattaforma, sottolineando la necessità urgente di difese proattive, modellazione rigorosa delle minacce e l’implementazione di robuste salvaguardie nelle applicazioni guidate dall’IA. Per rimanere un passo avanti rispetto alle minacce sempre più sofisticate alimentate dall’adozione rapida e dall’abuso dell’IA da parte degli avversari, la piattaforma SOC Prime offre una suite di prodotti pronti per l’impresa che combina AI etica, automazione, intelligence sulle minacce in tempo reale ed è costruita su principi di privacy-first e zero-trust, consentendo alle organizzazioni di rafforzare la loro resilienza informatica.
