Microsoft 365 Copilot: quanto è sicuro il tuo assistente AI?

## Allarme Sicurezza: Scoperta Vulnerabilità Zero-Click in Microsoft 365 Copilot

Il panorama della sicurezza informatica è stato scosso dalla recente scoperta di una vulnerabilità “zero-click” nell’ambito di Microsoft 365 Copilot. Denominata *EchoLeak, questa tecnica di attacco consente a malintenzionati di estrapolare dati sensibili dal contesto di Copilot senza alcuna interazione da parte dell’utente. La vulnerabilità, classificata come critica con identificativo CVE-2025-32711 e un punteggio CVSS di 9.3, è stata prontamente affrontata da Microsoft.

L’azienda ha rilasciato un avviso in cui si afferma che “l’injection di comandi AI in M365 Copilot consente a un attaccante non autorizzato di divulgare informazioni su una rete”. La falla è stata inclusa nell’elenco delle patch di Microsoft di giugno 2025, portando il numero totale di vulnerabilità corrette a 68.

Aim Security, la società che ha scoperto e segnalato il problema, ha identificato EchoLeak come un’istanza di “LLM Scope Violation”, aprendo la strada all’injection indiretta di prompt e a comportamenti indesiderati. Questo tipo di violazione si verifica quando istruzioni dannose, incorporate in contenuti non attendibili come email provenienti dall’esterno dell’organizzazione, inducono il sistema AI ad accedere ed elaborare dati interni riservati senza un esplicito consenso o interazione dell’utente.

## Il Meccanismo di Attacco EchoLeak

L’attacco EchoLeak sfrutta la capacità di Copilot di recuperare e classificare i dati, utilizzando i privilegi di accesso ai documenti interni. Gli aggressori possono influenzare questo processo tramite payload dannosi incorporati in fonti apparentemente innocue, come note di riunioni o catene di email.

La sequenza di attacco si sviluppa nel seguente modo:

1. Injection: L’attaccante invia un’email apparentemente innocua alla casella di posta di un dipendente, contenente l’exploit di violazione dell’ambito LLM. 2. Richiesta: L’utente pone a Microsoft 365 Copilot una domanda di lavoro (ad esempio, riassumere e analizzare il rapporto sugli utili).
3. Violazione dell’ambito: Copilot combina l’input non attendibile dell’attaccante con dati sensibili nel contesto LLM tramite il motore di Retrieval-Augmented Generation (RAG).
4. Recupero: Copilot divulga i dati sensibili all’attaccante tramite URL di Microsoft Teams e SharePoint.

Un aspetto cruciale è che EchoLeak non richiede alcun clic da parte dell’utente. L’attaccante si affida al comportamento predefinito di Copilot per combinare ed elaborare contenuti da Outlook e SharePoint senza isolare i confini di fiducia, trasformando un’utile automazione in un vettore di fuga di dati silenzioso.
## MCP e Avvelenamento Avanzato degli Strumenti

Parallelamente alla scoperta di EchoLeak, CyberArk ha rivelato un attacco di avvelenamento degli strumenti (TPA) che colpisce lo standard Model Context Protocol (MCP), estendendosi oltre la descrizione dello strumento all’intero schema. Questa tecnica di attacco è stata denominata Full-Schema Poisoning (FSP).

Il problema risiede nel “modello di fiducia fondamentalmente ottimistico” di MCP, che equipara la correttezza sintattica alla sicurezza semantica e presuppone che gli LLM ragionino solo su comportamenti esplicitamente documentati. TPA e FSP possono essere utilizzati per mettere in scena attacchi avanzati di avvelenamento degli strumenti (ATPA), in cui l’attaccante progetta uno strumento con una descrizione benigna ma visualizza un falso messaggio di errore che induce l’LLM ad accedere a dati sensibili (ad esempio, chiavi SSH) per risolvere il presunto problema.

Dato che MCP consente agli agenti AI di interagire con vari strumenti, servizi e fonti di dati in modo coerente, qualsiasi vulnerabilità nell’architettura client-server di MCP potrebbe comportare gravi rischi per la sicurezza, tra cui la manipolazione di un agente per la divulgazione di dati o l’esecuzione di codice dannoso.

## Attacco di Rebinding MCP

La rapida ascesa di MCP come “tessuto connettivo per l’automazione aziendale e le applicazioni agentiche” ha aperto nuove vie di attacco, come il Domain Name System (DNS) rebinding, per accedere a dati sensibili sfruttando i Server-Sent Events (SSE), un protocollo utilizzato dai server MCP per la comunicazione in tempo reale con i client MCP.

Gli attacchi di DNS rebinding consistono nell’indurre il browser di una vittima a trattare un dominio esterno come se appartenesse alla rete interna (ovvero, localhost). Questi attacchi, progettati per aggirare le restrizioni della same-origin policy (SOP), vengono innescati quando un utente visita un sito dannoso creato dall’attaccante tramite phishing o social engineering.

L’attacco di rebinding MCP sfrutta la capacità di un sito web controllato dall’avversario di accedere a risorse interne sulla rete locale della vittima per interagire con il server MCP in esecuzione su localhost tramite SSE e, in definitiva, estrapolare dati riservati.

## Implicazioni e Riflessioni sulla Sicurezza dell’AI

La vulnerabilità EchoLeak e le altre problematiche relative a MCP evidenziano la necessità di un approccio olistico alla sicurezza dell’AI. Le organizzazioni devono adottare misure proattive per proteggere i propri dati e sistemi AI da minacce emergenti.

Implementare il principio del minimo privilegio, limitando l’accesso degli utenti ai soli dati necessari per svolgere il proprio lavoro.
Monitorare attentamente l’attività dell’AI, rilevando comportamenti anomali e potenziali tentativi di esfiltrazione di dati.
Adottare una strategia di difesa integrata che includa elementi di XDR (Extended Detection and Response) come la sicurezza della posta elettronica e ITDR (Identity Threat Detection and Response), insieme a una piattaforma di sicurezza dei dati (DSP) completa.
Garantire che gli agenti AI abbiano accesso solo ai repository con cui devono interagire e controllare continuamente le interazioni tra agenti e sistemi MCP.

## Verso un Futuro Sicuro nell’Era dell’AI

L’automazione, la scalabilità produttiva e la trasformazione digitale sono elementi cardine del progresso tecnologico moderno. Tuttavia, la crescente integrazione dell’intelligenza artificiale nei processi aziendali introduce nuove sfide in termini di sicurezza.

Nozione base di automazione: L’automazione consiste nell’utilizzo di sistemi e tecnologie per eseguire compiti che tradizionalmente richiederebbero l’intervento umano. Nel contesto di EchoLeak, l’automazione di Copilot, progettata per assistere gli utenti, è stata sfruttata per scopi malevoli.

Nozione avanzata di automazione*: L’automazione intelligente, guidata dall’AI, può essere utilizzata per rilevare e rispondere automaticamente a minacce come EchoLeak. Sistemi di monitoraggio comportamentale avanzati possono identificare attività anomale e bloccare l’accesso a dati sensibili prima che possano essere compromessi.
La scoperta di EchoLeak ci ricorda che la sicurezza dell’AI è un processo continuo che richiede vigilanza, adattamento e un approccio proattivo. Dobbiamo chiederci: stiamo davvero comprendendo le implicazioni di sicurezza delle tecnologie che implementiamo? Siamo pronti a proteggere i nostri dati in un mondo sempre più automatizzato e guidato dall’AI? La risposta a queste domande determinerà la nostra capacità di sfruttare appieno il potenziale dell’AI, mitigando al contempo i rischi che essa comporta.