Microsoft Copilot Cowork puede ser engañado para exfiltrar archivos sensibles, dice un informe
Microsoft Copilot Cowork enfrenta riesgo de exfiltración de archivos
Un nuevo informe afirma que Microsoft Copilot Cowork puede ser manipulado para filtrar archivos sensibles de Microsoft 365 mediante inyección indirecta de indicaciones, exponiendo a las empresas a un riesgo de seguridad significativo.
El hallazgo se centra en aprobaciones automáticas inseguras para acciones como el envío de correos y mensajes en Teams. Según el informe, Copilot Cowork puede ser dirigido por un archivo de skill envenenado que contiene instrucciones de inyección de indicaciones, lo que permite a un atacante exfiltrar datos del tenant de la víctima usando los propios permisos del agente y el acceso a Microsoft Graph.
Copilot Cowork es una característica Frontier en Microsoft 365 que opera con los permisos del usuario y puede leer y actuar sobre datos en todo el tenant. Los investigadores dicen que el ataque funcionó con una alta tasa de éxito incluso contra modelos de vanguardia, incluido Claude Opus 4.7.
Cómo funciona el ataque
La documentación de Microsoft indica que Copilot Cowork pide permiso antes de realizar acciones sensibles como enviar correo electrónico o publicar en Teams. Pero el informe dice que en la práctica, los mensajes enviados al usuario activo se ejecutan inmediatamente sin aprobación humana. Los usuarios además no pueden cambiar ese comportamiento.
Eso crea una vía para la exfiltración: un mensaje comprometido puede incluir imágenes externas u otro contenido que desencadene solicitudes de red cuando se abre en Outlook o Teams, permitiendo que se envíen solicitudes controladas por el atacante. El informe indica que Copilot Cowork también puede recuperar enlaces de descarga preautenticados para archivos a los que el usuario puede acceder, y esos enlaces pueden usarse para descargar el archivo por cualquiera que los reciba.
El escenario de la víctima descrito en el informe involucra a un usuario con acceso a archivos de SharePoint o OneDrive que contienen PII (información de identificación personal) y datos financieros, y que luego carga un archivo de skill en Copilot Cowork que lleva la indicación inyectada.
Exposición empresarial más amplia
Protege tu privacidad con Doppler VPN
3 días de prueba gratis. Sin registro. Sin registros.
Los investigadores afirman que el problema no se limita a una sola fuente de inyección. Ataques similares podrían provenir de datos web en herramientas como Claude for Chrome o de servidores MCP conectados. Sostienen que el riesgo refleja un problema más amplio: dar a los agentes acceso a múltiples sistemas amplía la superficie de ataque por inyección de indicaciones, incluso cuando cada capacidad individual parece benigno aisladamente.
Separado de la vía de exfiltración a través de mensajes, los investigadores dicen que también divulgaron a Microsoft una vulnerabilidad que permite directamente la salida de datos desde el entorno aislado (sandbox) de Copilot Cowork.
Fuentes:
Navega de forma privada con Doppler VPN — sin registros, conexión con un toque.