Reportar incidente

Vulnerabilidad de Inyección de Prompts en Microsoft Copilot (Email & Teams Integration)

Se ha identificado una vulnerabilidad de seguridad en Microsoft Copilot que permite ataques de «Inyección de Prompts Indirecta» a través de la integración con Outlook (Email) y Microsoft Teams. Esta falla permite que un atacante externo envíe un correo electrónico o un mensaje de Teams diseñado con instrucciones ocultas que son interpretadas por el asistente de IA como comandos legítimos.

Al procesar este contenido malicioso, Copilot puede ser manipulado para exfiltrar información sensible del usuario, realizar acciones no autorizadas (como enviar correos en nombre del usuario) o resumir información de manera engañosa, comprometiendo la integridad de la comunicación corporativa.     

CONTENIDO

Descripción técnica

La vulnerabilidad técnica ocurre porque el modelo de lenguaje (LLM) no logra distinguir adecuadamente entre las instrucciones del usuario y los datos externos provenientes de correos o chats. Un atacante puede insertar comandos en el cuerpo de un mensaje que, al ser «leídos» o resumidos por Copilot, activan funciones de la IA. Debido a que Copilot tiene acceso al grafo de datos de la organización (Microsoft Graph), la explotación de este fallo permite el acceso a archivos, contactos y comunicaciones privadas del usuario afectado.

  • Componentes Afectados: Microsoft Copilot para Microsoft 365 (específicamente las extensiones de Outlook y Teams).
  • Naturaleza del Fallo: inyección de Prompts Indirecta (Indirect Prompt Injection).

Tipo de vulnerabilidad

  • Clasificación: inyección de Prompts / Manipulación de IA.
  • Causa Raíz: falta de aislamiento entre las instrucciones de control y el contenido de los datos procesados.

Mecanismo de explotación

  • Vector: externo (envío de Email o mensaje de Teams).
  • Interacción del usuario: baja (solo requiere que el usuario pida a Copilot resumir o interactuar con el mensaje malicioso).
  • Estrategia: uso de técnicas de «jailbreaking» ocultas en el texto para obligar a la IA a ignorar sus directivas de seguridad originales y ejecutar las órdenes del atacante.

Impacto

  • Resumen de impacto: compromiso de la confidencialidad y la integridad de los datos de Microsoft 365.
  • Severidad: ALTA.
  • Consecuencias: exfiltración de datos sensibles a servidores externos mediante la manipulación de la IA, suplantación de identidad (envío de correos fraudulentos) y propagación de desinformación interna.

Indicadores IOCs e IOAs

  • IoA (ataque en curso): comportamientos erráticos de Copilot, como sugerir acciones o enlaces externos que no tienen relación con la consulta original.
  • IoA (uso de IA): detección de prompts extremadamente complejos o con codificaciones inusuales dentro del cuerpo de correos electrónicos entrantes.
  • IoC (auditoría): registros en los logs de Microsoft 365 que muestran a Copilot accediendo a archivos o enviando correos electrónicos que el usuario no solicitó explícitamente.

VERSIONES AFECTADAS Y CORREGIDAS

ProductoEstadoMedida de Remediación
Microsoft Copilot (M365)Vulnerable a Inyección IndirectaMicrosoft aplica mitigaciones del lado del servidor (Cloud).
Outlook / TeamsIntegraciones activasRevisar permisos de extensiones de IA.

ACCIONES

Medida de mitigación definitiva:

  • Actualización de seguridad: Microsoft gestiona la seguridad de Copilot de forma centralizada; sin embargo, es vital asegurarse de que las políticas de Data Loss Prevention (DLP) en el centro de administración de M365 estén configuradas para restringir la salida de datos hacia dominios externos no autorizados.

Medida de Mitigación Temporal (Workaround):

  • Capacitación de usuarios: alertar a los empleados para que verifiquen los resúmenes generados por IA, especialmente cuando provienen de correos externos.
  • Restricción de acceso: evaluar la desactivación temporal de la capacidad de Copilot para acceder a contenido web externo mientras se procesan datos internos sensibles.

REFERENCIAS

[1] Microsoft Security Response Center (MSRC) — “Security Best Practices for Generative AI and Copilot”.

[2] MITRE ATLAS — “Indirect Prompt Injection (AML.T0015)”.

[3] Cyber Security News — “Hackers Exploit Microsoft Copilot via Email to Steal Corporate Data”.
Webinars

¿Te perdiste el en vivo? ¡Míralo ahora!

WEBINARS DE METARED
WEBINARS DE CSIRT-CEDIA

HispaSEC

Packet storm security

Síguenos
Twitter
Suscríbete

Recibe nuestro boletín para mantenerte actualizado