Falha no copiloto do Microsoft 365 permite que hackers roubem dados confidenciais

22/10/2025 mindsecblog Notícias 0

Falha no copiloto do Microsoft 365 permite que hackers roubem dados confidenciais por meio de injeção indireta de prompt

Uma vulnerabilidade no Microsoft 365 Copilot permitiu que invasores enganassem o assistente de IA para buscar e exfiltrar dados confidenciais do inquilino, ocultando instruções em um documento.

A IA então codificou os dados em um diagrama malicioso da Sereia que, quando clicado, enviava as informações roubadas para o servidor de um invasor.

Quando o Microsoft 365 Copilot foi solicitado a resumir um documento do Office especialmente criado, uma carga útil de injeção imediata indireta fez com que ele executasse etapas ocultas, como relatado por Pesquisadores.

Em vez de produzir um resumo normal, ele buscou e-mails corporativos recentes, codificou-os hexadecimais e criou um botão falso “Login” como um diagrama de sereia.

Esse diagrama continha CSS e um hiperlink apontando para o servidor de um invasor com os dados codificados incorporados na URL.

Quando um usuário desavisado clicava no botão, as informações confidenciais eram transmitidas aos logs do invasor, onde podiam ser decodificadas posteriormente.

Como o ataque funcionou

Mermaid é uma ferramenta que gera diagramas a partir de definições simples de texto. Ele suporta fluxogramas, diagramas de sequência, gráficos de Gantt e muito mais usando sintaxe no estilo Markdown.

Quando o Copilot gera um diagrama de sereia, ele também permite o estilo CSS, o que abre um vetor para incorporar links maliciosos.

Neste caso, o invasor usou a ferramenta de busca integrada do Copilot para recuperar os e-mails recentes da vítima. A IA então transformou a lista em uma única string codificada em hexadecimal, dividindo-a em linhas de 30 caracteres para que o renderizador Mermaid não cometesse erros.

Por fim, a IA inseriu os dados hexadecimais em um nó clicável “Login”. O estilo CSS do nó definiu o hiperlink que apontava para um servidor Burp Collaborator privado. O código era mais ou menos assim:

graph LR

    A[Malicious Document] -->|User asks to summarize| B[Indirect Prompt Injection]

    B --> C[Fetch & Encode Emails]

    C --> D[Generate Fake Login Button]

    D -->|User clicks| E[Exfiltrate Data]

Clicar no botão fez com que um iframe oculto aparecesse, mostrando brevemente uma resposta HTTP do servidor do invasor antes de desaparecer, tornando o truque mais crível.

O invasor até substituiu o conteúdo da resposta por uma simulação Microsoft 365 imagem da tela de login para convencer os usuários de que eles precisavam fazer login para ver o resumo.

A injeção indireta de prompt ocorre quando invasores incorporam instruções em conteúdo externo, como documentos ou e-mails.

Quando uma IA processa esse conteúdo, os comandos ocultos entram em vigor, permitindo que os invasores anulem o comportamento pretendido.

Ao contrário da injeção direta, em que o invasor interage com o modelo, a injeção indireta explora fontes de dados de aparência benigna nas quais a IA confia.

Para ocultar instruções, o invasor usou texto branco em uma planilha do Excel. A primeira página continha instruções aninhadas dizendo ao Copilot para ignorar os dados financeiros e se concentrar em um prompt de login.

Uma segunda página oculta instruiu o Copilot a buscar e-mails, codificá-los e renderizar o diagrama malicioso.

Após divulgação responsável, a Microsoft corrigiu Copiloto para desativar elementos interativos como hiperlinks em diagramas de sereia.

Essa alteração impede que diagramas gerados por IA incluam links clicáveis, fechando o canal de exfiltração. Os usuários são aconselhados a atualizar suas integrações do Copilot e evitar resumir documentos não confiáveis até que o patch seja aplicado.