Een nieuwe aanvalstechniek met de naam Echoleak is gekenmerkt als een “nulklik” kunstmatige intelligentie (AI) kwetsbaarheid waarmee slechte actoren gevoelige gegevens van Microsoft 365 Copilot’s context kunnen exfiltreren zonder gebruikersinteractie.
De kritiek beoordeelde kwetsbaarheid is toegewezen aan de CVE ID CVE-2025-32711 (CVSS-score: 9.3). Het vereist geen klantactie en is al aangepakt door Microsoft. Er is geen bewijs dat de tekortkoming in het wild kwaadwillig werd uitgebuit.
“AI Command Injection in M365 Copilot stelt een ongeautoriseerde aanvaller in staat om informatie over een netwerk bekend te maken,” zei het bedrijf in een advies dat woensdag werd vrijgegeven. Sindsdien is het toegevoegd aan Microsoft’s Patch Tuesday -lijst voor juni 2025, waardoor het totale aantal vaste fouten naar 68 wordt gebracht.
AIM -beveiliging, die het probleem ontdekte en gemeld, zei dat het exemplaar van een grootschending van een groot taalmodel (LLM) de weg vrijmaakt die de weg vrijmaakt voor indirecte snelle injectie, wat leidt tot onbedoeld gedrag.
LLM -schending van de reikwijdte treedt op wanneer de instructies van een aanvaller ingebed in niet -vertrouwde inhoud, bijvoorbeeld een e -mail die van buiten een organisatie wordt verzonden, met succes het AI -systeem misleidt tot toegang tot en verwerken van bevoorrechte interne gegevens zonder expliciete gebruikersintentie of interactie.
“De ketens stellen aanvallers in staat om automatisch gevoelige en gepatenteerde informatie uit de context van M365 copilot te exfiltreren, zonder het bewustzijn van de gebruiker, of vertrouwen op specifiek slachtoffergedrag,” zei het Israëlische cybersecuritybedrijf. “Het resultaat wordt bereikt, ondanks dat de interface van M365 Copilot alleen open is voor werknemers van de organisatie.”
In het geval van Echoleak sluit de aanvaller een kwaadaardige snelle lading in Markdown-geformatteerde inhoud in, zoals een e-mail, die vervolgens wordt ontleed door de Augmented Generationed Generationed Generation (RAG) -motor van het AI-systeem. De payload activeert stilletjes de LLM om privé -informatie uit de huidige context van de gebruiker te extraheren en terug te sturen.
De aanvalsreeks ontvouwt zich als volgt –
- Injectie: Aanvaller stuurt een onschadelijke e-mail naar de Outlook Inbox van een werknemer, waaronder de LLM-scope-overtreding exploit
- Vraagt de gebruiker Microsoft 365 Copilot Een bedrijfsgerelateerde vraag (bijvoorbeeld samenvatten en hun winstrapport analyseren)
- Schending van de reikwijdte: Copilot combineert onbetrouwbare aangevallen input met gevoelige gegevens naar LLM-context door de Retvral-Augmented Generation (RAG) -motor
- Ophalen: Copilot lekt de gevoelige gegevens naar de aanvaller via Microsoft -teams en SharePoint URL’s
Belangrijk is dat er geen gebruikersklikken nodig zijn om Echoleak te activeren. De aanvaller is gebaseerd op het standaardgedrag van Copilot om inhoud van Outlook en SharePoint te combineren en te verwerken zonder vertrouwensgrenzen te isoleren – nuttige automatisering om te zetten in een stille lekvector.
“Als een nulklik AI-kwetsbaarheid, opent Echoleak uitgebreide mogelijkheden voor gegevensuitvoeringen en afpersingsaanvallen voor gemotiveerde dreigingsactoren,” zei AIM Security. “In een steeds evoluerende agentische wereld toont het de potentiële risico’s die inherent zijn aan het ontwerp van agenten en chatbots.”
“De aanval resulteert in het toestaan van de aanvaller om de meest gevoelige gegevens uit de huidige LLM-context te exfiltreren-en de LLM wordt tegen zichzelf gebruikt om ervoor te zorgen dat de meest gevoelige gegevens uit de LLM-context worden gelekt, is niet afhankelijk van specifiek gebruikersgedrag en kan worden uitgevoerd zowel in single-turn-conversaties als multi-turn conversaties.”
Echoleak is vooral gevaarlijk omdat het gebruik maakt van hoe Copilot gegevens ophaalt en rangschikt – met behulp van interne documenttoegangsprivileges – die aanvallers indirect kunnen beïnvloeden via payload -prompts ingebed in schijnbaar goedaardige bronnen zoals vergaderbiljetten of e -mailketens.
MCP en geavanceerde gereedschapsvergiftiging
De openbaarmaking komt wanneer Cyberark een gereedschapsvergiftigingaanval (TPA) onthulde die de standaard van het Model Context Protocol (MCP) beïnvloedt en verder gaat dan de gereedschapsbeschrijving om deze over het hele gereedschapsschema uit te breiden. De aanvalstechniek is codenaam Full-Schema Poising (FSP).
“Hoewel het grootste deel van de aandacht voor aanslagen van gereedschapsvergiftiging zich op het beschrijvingsveld heeft gericht, onderschat dit het andere potentiële aanvalsoppervlak enorm”, zei beveiligingsonderzoeker Simcha Kosman. “Elk deel van het gereedschapsschema is een potentieel injectiepunt, niet alleen de beschrijving.”
Het cybersecuritybedrijf zei dat het probleem is geworteld in het “fundamenteel optimistische vertrouwensmodel” van MCP dat syntactische correctheid gelijkstelt aan semantische veiligheid en veronderstelt dat LLMS alleen reden is over expliciet gedocumenteerd gedrag.
Wat meer is, TPA en FSP kunnen worden bewapend om geavanceerde toolvergiftigingsaanvallen (ATPA) te organiseren, waarbij de aanvaller een tool ontwerpt met een goedaardige beschrijving, maar een nepfoutbericht weergeeft die de LLM voor de gek houdt om toegang te krijgen tot gevoelige gegevens (bijv. SSH -toetsen) om het vermeende probleem aan te pakken.
“Naarmate LLM -agenten capabeler en autonoom worden, zal hun interactie met externe tools via protocollen zoals MCP bepalen hoe veilig en betrouwbaar ze werken,” zei Kosman. “Toolvergiftigingsaanvallen – vooral geavanceerde vormen zoals ATPA – stellen kritische blinde vlekken bloot in de huidige implementaties.”
Dat is niet alles. Aangezien MCP AI-agenten (of assistenten) in staat stelt om op een consistente manier met verschillende tools, diensten en gegevensbronnen te communiceren, zou elke kwetsbaarheid in de MCP-client-server-architectuur ernstige beveiligingsrisico’s kunnen vormen, inclusief het manipuleren van een agent in lekkende gegevens of het uitvoeren van kwaadaardige code.
Dit blijkt uit een onlangs bekendgemaakte kritische beveiligingsfout in de populaire GitHub MCP -integratie, die, indien met succes uitgebuit, een aanvaller kan toestaan om de agent van een gebruiker te kapen via een kwaadaardig GitHub -probleem en deze in te spannen in lekkende gegevens van particuliere repositories wanneer de gebruiker het model vraagt om “een kijkje te nemen in de problemen.”
“Het probleem bevat een lading die door de agent zal worden uitgevoerd zodra deze de lijst met problemen van de openbare repository in vraag staat”, zeiden Invariant Labs-onderzoekers Marco Milanta en Luca Beurer-Kellner, categoriseren deze als een geval van een giftige agentstroom.
Dat gezegd hebbende, de kwetsbaarheid kan niet alleen door GitHub worden aangepakt via patches aan de server, omdat het meer een “fundamenteel architecturale kwestie” is, wat noodzakelijk maakt dat gebruikers gedetailleerde toestemmingscontroles implementeren om ervoor te zorgen dat de agent toegang heeft tot alleen die repositories die het nodig heeft om te communiceren met en continu interacties tussen agenten en MCP-systemen.
Maak plaats voor de MCP Rebinding Attack
De snelle beklimming van MCP als het “bindweefsel voor enterprise-automatisering en agentische applicaties” heeft ook nieuwe aanvalswegen geopend, zoals Domain Name System (DNS) Rebinding, om toegang te krijgen tot gevoelige gegevens door het exploiteren van server-sent evenementen (SSE), een protocol dat wordt gebruikt door MCP-servers voor realtime-streamingcommunicatie aan de MCP-cliënten.
DNS -rebinding aanvallen houdt in dat de browser van een slachtoffer wordt misleid om een extern domein te behandelen alsof het tot het interne netwerk behoort (dwz localhost). Deze aanvallen, die zijn ontworpen om beperkingen van hetzelfde origin beleid (SOP) te omzeilen, worden geactiveerd wanneer een gebruiker een kwaadwillende site bezoekt die door de aanvaller wordt opgezet via phishing of social engineering.
“Er is een ontkoppeling tussen het browserbeveiligingsmechanisme en netwerkprotocollen,” zei GitHub’s Jaroslav Lobacevski in een uitleg over DNS Rebinding die deze week is gepubliceerd. “Als het opgeloste IP -adres van de webpagina -host verandert, houdt de browser er niet rekening mee en behandelt de webpagina alsof de oorsprong niet is veranderd. Dit kan worden misbruikt door aanvallers.”
Dit gedrag maakt in wezen JavaScript aan de klant van een kwaadaardige site mogelijk om beveiligingscontroles te omzeilen en zich te richten op andere apparaten op het privénetwerk van het slachtoffer die niet worden blootgesteld aan het openbare internet.
De MCP-rebinding-aanval maakt gebruik van het vermogen van een tegen tegenstanders gecontroleerde website om toegang te krijgen tot interne bronnen op het lokale netwerk van het slachtoffer om te communiceren met de MCP-server die op localhost wordt uitgevoerd over SSE en uiteindelijk vertrouwelijke gegevens te exfiltreren.
“Door de langlevende verbindingen van SSE te misbruiken, kunnen aanvallers draaien van een extern phishing-domein om interne MCP-servers te richten,” zei het Straiker AI Research (Star) -team in een analyse die vorige maand werd gepubliceerd.
Het is vermeldenswaard dat SSE vanaf november 2024 is verouderd ten gunste van stroombare HTTP vanwege de risico’s van DNS die aanvallen heroverwegen. Om de dreiging van dergelijke aanvallen te verminderen, wordt geadviseerd om authenticatie op MCP -servers af te dwingen en de header “oorsprong” te valideren op alle inkomende verbindingen met de MCP -server om ervoor te zorgen dat de verzoeken uit vertrouwde bronnen komen.
