Microsoft sotto Accusa! Un bug critico in M365 Copilot scatena la polemica

Mentre Microsoft sta promuovendo la sua linea di prodotti Copilot basata sull’intelligenza artificiale per rendere gli utenti più produttivi e pratici, è stata scoperta una falla preoccupante in M365 che mina le fondamenta della sicurezza e della trasparenza legale. Il problema è che Copilot è riuscito ad accedere ai file degli utenti senza lasciare alcuna traccia nei registri di controllo, e Microsoft non ha provveduto a informare i clienti.

La vulnerabilità è stata scoperta per caso: il 4 luglio, un ricercatore di sicurezza di Pistachio ha notato che, utilizzando Copilot per recuperare un riepilogo da un file, la richiesta veniva visualizzata correttamente nel registro di controllo. Tuttavia, se la richiesta era formulata in modo diverso, in modo che Copilot non restituisse un collegamento al file, l’accesso scompariva completamente dal registro. Ciò creava una falla che consentiva a un aggressore di leggere il contenuto del documento senza lasciare traccia digitale.

Successivamente è emerso che un problema simile era stato scoperto un anno prima dal CTO di Zenity. Ciononostante, Microsoft ha corretto il bug solo nell’agosto 2025, dopo una seconda segnalazione indipendente.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Tuttavia, anche dopo aver riconosciuto il problema, l’azienda ha rifiutato di inviare una notifica o di rilasciare un CVE, l’identificatore di vulnerabilità comunemente utilizzato. La spiegazione fornita tramite il Microsoft Incident Response Center (MSRC) era che la correzione veniva distribuita automaticamente e non richiedeva l’intervento del cliente.

Questo approccio ha creato confusione tra gli esperti. In primo luogo, Microsoft ha chiaramente violato le proprie regole di gestione degli incidenti: pur disponendo di una guida formale, l’azienda non ha segnalato le modifiche nelle fasi di revisione di una segnalazione e si è comportata come se gli stati formali esistessero solo per finta, non riflettendo la reale situazione.

In secondo luogo, classificare la vulnerabilità come “importante” ma non “critica” viene utilizzato come scusa per evitare la divulgazione, ignorando un fatto fondamentale: la mancanza di voci di registro può verificarsi accidentalmente, senza intenti malevoli, semplicemente a causa del comportamento di Copilot.

La comunità quindi ha iniziato a pensare chee implicazioni potrebbero riguardare qualsiasi organizzazione che abbia utilizzato M365 Copilot prima del 18 agosto 2025. Se un’azienda si affida al registro di controllo per conformarsi a normative come l’HIPAA o per condurre indagini interne sugli incidenti, rischia di prendere decisioni incomplete o errate. Ciò è particolarmente pericoloso per gli utenti aziendali, in cui i dati relativi all’accesso a file sensibili possono essere critici in caso di audit, cause legali o verifiche.

Mentre Microsoft continua ad ampliare l’uso dell’intelligenza artificiale nei suoi prodotti, la domanda rimane: quanti altri di questi “problemi silenziosi” si nascondono dietro le interfacce intuitive di Copilot?

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.