Esiste una falla di sicurezza avanzata in M365 Copilot, che permette a malintenzionati di estorcere informazioni sensibili dai tenant, come ad esempio email recenti, attraverso manovre di iniezione indiretta di comandi.
Un ricercatore di sicurezza, Adam Logue, ha dettagliatamente descritto una vulnerabilità in un articolo sul suo blog recentemente pubblicato. Questa vulnerabilità, grazie all’integrazione dell’assistente AI nei documenti Office e al supporto nativo per i diagrammi Mermaid, permette la fuoriuscita di dati con un solo clic iniziale dell’utente, senza richiedere ulteriori interazioni.
L’attacco inizia quando un utente chiede a M365 Copilot di riassumere un foglio di calcolo Excel creato appositamente. Istruzioni nascoste, incorporate in testo bianco su più fogli, utilizzano la modifica progressiva delle attività e comandi nidificati per dirottare il comportamento dell’IA.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
I prompt indiretti sostituiscono l’attività di riepilogo, indicando a Copilot di richiamare il suo strumento search_enterprise_emails per recuperare le email aziendali recenti. Il contenuto recuperato viene quindi codificato in formato esadecimale e frammentato in righe brevi per aggirare i limiti di caratteri di Mermaid.
Copilot genera un diagramma Mermaid, uno strumento basato su JavaScript per creare diagrammi di flusso e diagrammi a partire da testo simile a Markdown che si spaccia per un “pulsante di accesso” protetto da un’emoji a forma di lucchetto.
Il diagramma include lo stile CSS per un aspetto convincente del pulsante e un collegamento ipertestuale che incorpora i dati e-mail codificati. Quando l’utente clicca sul link, credendo che sia necessario per accedere al contenuto “sensibile” del documento, questo reindirizza al server dell’aggressore. Il payload codificato in esadecimale viene trasmesso silenziosamente, dove può essere decodificato dai log del server.
Adam Logue ha notato delle somiglianze con un precedente exploit Mermaid in Cursor IDE, che consentiva l’esfiltrazione senza clic tramite immagini remote, sebbene M365 Copilot richiedesse l’interazione dell’utente.
Dopo approfonditi test, il payload è stato ispirato dalla ricerca TaskTracker di Microsoft sul rilevamento del “task drift” nei LLM. Nonostante le difficoltà iniziali nel riprodurre il problema, Microsoft ha convalidato la catena e l’ha corretta entro settembre 2025, rimuovendo i collegamenti ipertestuali interattivi dai diagrammi Mermaid renderizzati da Copilot.
La cronologia delle scoperte mostra che ci sono state difficoltà di coordinamento. Adam Logue ha riferito la situazione completa il 15 agosto 2025, dopo aver discusso con lo staff del Microsoft Security Response Center (MSRC) al DEFCON.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cyber Italia
Cybercrime
Cybercrime
Cybercrime
Diritti