microsoft-copilot - RunkIntel

# Microsoft Copilot > ai-assistant · Vendor: [[_microsoft|Microsoft]] ## Visão Geral **Microsoft Copilot** e o assistente de inteligência artificial integrado ao ecossistema [[_microsoft|Microsoft]] 365, incluindo [[exchange-server|Exchange Server]], [[sharepoint|SharePoint]], OneDrive e Microsoft Teams. Utiliza modelos de linguagem (LLM) com Retrieval-Augmented Generation (RAG) para acessar dados organizacionais via Microsoft Graph e gerar respostas contextualizadas. **Dados do produto:** - Categoria: Assistente de IA corporativo (LLM + RAG) - Vendor: [[_microsoft|Microsoft]] - Presenca no Brasil/LATAM: Ampla - adotado por empresas e governo que utilizam Microsoft 365 Embora o Copilot aumente significativamente a produtividade, sua arquitetura introduz uma **nova superficie de ataque** baseada em prompt injection, especialmente porque o assistente processa automaticamente conteudo de fontes nao confiaveis (emails externos, documentos compartilhados) junto com dados internos sensiveis. ## Superficie de Ataque O Microsoft Copilot apresenta riscos de segurança únicos associados a assistentes de IA corporativos: > [!danger] Prompt Injection Indireto (XPIA) > O Copilot processa instrucoes maliciosas embutidas em emails, documentos Word, apresentacoes PowerPoint e notas de reuniao - misturando conteudo nao confiavel com dados internos sensiveis no contexto do LLM. ### Vetores de Ataque Identificados 1. **EchoLeak ([[cve-2025-32711|CVE-2025-32711]])** - Vulnerabilidade zero-click com CVSS 9.3 que permitia exfiltração automatica de dados corporativos sem qualquer interação do usuario. Descoberta pela Aim Security em janeiro de 2025, corrigida pela Microsoft em maio de 2025. O atacante embutia payload em email Markdown que explorava o motor RAG do Copilot para extrair informações privilegiadas via URLs do [[microsoft-sentinel|Teams]] e SharePoint. 2. **Reprompt** - Técnica de exfiltração em um único clique descoberta pela Varonis em janeiro de 2026. Utilizava o parametro "q" na URL do Copilot para injetar instrucoes, contornando guardrails ao solicitar que o Copilot repetisse acoes. Criava um canal invisivel de exfiltração continua entre o Copilot e o servidor do atacante. 3. **AI Recommendation Poisoning** - Tendencia documentada pela Microsoft em fevereiro de 2026 onde empresas embutem instrucoes ocultas em botoes "Summarize with AI" para envenenar a memoria persistente do Copilot, influenciando recomendações futuras. 4. **Phishing via Resumos de Email** - Pesquisa da Permiso (marco 2026) demonstrou como texto malicioso anexado a emails pode influenciar o resumo do Copilot para gerar alertas de segurança falsos com links de phishing, abusando da confiança que usuarios depositam no assistente. 5. **Copilot Studio - Prompt Injection** - Pesquisa da Tenable (dezembro 2025) mostrou como agentes no-code criados no Copilot Studio podem ser manipulados via prompt injection simples para vazar dados de cartoes de credito e alterar valores de reservas para $0. ## Attack Flow Tipica ```mermaid graph TB A["Atacante envia email com payload oculto"] --> B["Copilot processa email via RAG engine"] B --> C["LLM Scope Violation: mistura dados confiaveis com instrucoes maliciosas"] C --> D["Exfiltração via URLs do Teams/SharePoint"] D --> E["Dados sensiveis enviados ao atacante"] style A fill:#dc3545,color:#fff style C fill:#ffc107,color:#000 style E fill:#dc3545,color:#fff ``` ## Vulnerabilidades Conhecidas | CVE | CVSS | Tipo | Status | |-----|------|------|--------| | [[cve-2025-32711\|CVE-2025-32711]] | 9.3 | Zero-click prompt injection (EchoLeak) | Corrigido (maio 2025) | ## Mitigacoes Recomendadas - Implementar **Microsoft Purview** com rotulos de sensibilidade para controlar quais dados o Copilot pode acessar - Utilizar **Microsoft Prompt Shields** integrado ao [[microsoft-defender-endpoint|Defender for Cloud]] para detectar prompt injection - Considerar restringir o acesso do Copilot a caixas de email corporativas para prevenir XPIA via emails externos - Auditar e monitorar atividade do Copilot para identificar saidas anomalas - Treinar equipes de segurança sobre **adversarial prompts** como parte do programa de conscientizacao ## Técnicas MITRE ATT&CK Relacionadas - [[t1566-phishing|T1566]] - Phishing (vetor de entrega de payloads de prompt injection) - [[t1119-automated-collection|T1119]] - Automated Collection (Copilot coleta dados automaticamente via Graph) - [[t1048-exfiltration-over-alternative-protocol|T1048]] - Exfiltration Over Alternative Protocol (exfiltração via URLs do Teams/SharePoint) > [!latam] Relevância para Brasil e LATAM > O Microsoft 365 e o Copilot são amplamente adotados por empresas brasileiras e órgãos públicos. Ataques de prompt injection via email - vetor dominante no Brasil - podem ser especialmente eficazes em organizações que ainda não implementaram controles específicos para assistentes de IA no ambiente corporativo. ## Notas Relacionadas **Vendor:** [[_microsoft|Microsoft]] **Produtos afetados:** [[exchange-server|Exchange Server]] (email como vetor) · [[sharepoint|SharePoint]] (exfiltração) · [[microsoft-sentinel|Microsoft Sentinel]] (detecção) **Defesas:** [[microsoft-defender-endpoint|Microsoft Defender]] · Microsoft Purview · Prompt Shields