EchoLeak: Sicherheitslücke in Microsoft 365 Copilot aufgedeckt

TEL AVIV / LONDON (IT BOLTWISE) – Eine neuartige Sicherheitslücke namens EchoLeak bedroht die Datensicherheit von Microsoft 365 Copilot, indem sie es Angreifern ermöglicht, sensible Informationen ohne Benutzerinteraktion zu exfiltrieren.

Die kürzlich entdeckte Sicherheitslücke EchoLeak stellt eine erhebliche Bedrohung für die Datensicherheit in Microsoft 365 Copilot dar. Diese Schwachstelle, die als “Zero-Click”-KI-Sicherheitslücke eingestuft wird, ermöglicht es Angreifern, sensible Informationen aus dem Kontext von Microsoft 365 Copilot zu exfiltrieren, ohne dass eine Interaktion des Benutzers erforderlich ist. Die Schwachstelle wurde als kritisch eingestuft und hat die CVE-Nummer CVE-2025-32711 erhalten, mit einem CVSS-Score von 9,3. Microsoft hat das Problem bereits behoben, und es gibt keine Hinweise darauf, dass die Schwachstelle böswillig ausgenutzt wurde.

Die israelische Cybersicherheitsfirma Aim Security, die die Schwachstelle entdeckt und gemeldet hat, beschreibt EchoLeak als eine Instanz von Large Language Model (LLM) Scope Violation. Diese ermöglicht es, durch indirekte Prompt-Injektion unerwünschtes Verhalten hervorzurufen. Eine LLM Scope Violation tritt auf, wenn die Anweisungen eines Angreifers, die in unzuverlässigen Inhalten eingebettet sind, das KI-System erfolgreich dazu verleiten, auf privilegierte interne Daten zuzugreifen und diese zu verarbeiten, ohne dass eine explizite Benutzerabsicht oder -interaktion vorliegt.

Der Angriff verläuft in mehreren Schritten: Zunächst sendet der Angreifer eine harmlos wirkende E-Mail an das Outlook-Postfach eines Mitarbeiters, die den LLM-Scope-Violation-Exploit enthält. Wenn der Benutzer Microsoft 365 Copilot eine geschäftsbezogene Frage stellt, mischt Copilot die unzuverlässigen Eingaben des Angreifers mit sensiblen Daten im LLM-Kontext. Diese Daten werden dann über Microsoft Teams und SharePoint-URLs an den Angreifer weitergeleitet.

Die Enthüllung dieser Schwachstelle erfolgt zeitgleich mit der Bekanntgabe eines weiteren Angriffs, der von CyberArk als Tool Poisoning Attack (TPA) bezeichnet wird. Diese betrifft den Model Context Protocol (MCP)-Standard und geht über die Beschreibung hinaus, um das gesamte Tool-Schema zu erweitern. Der Angriff, bekannt als Full-Schema Poisoning (FSP), nutzt die optimistische Vertrauensmodellierung von MCP aus, die syntaktische Korrektheit mit semantischer Sicherheit gleichsetzt.

Die zunehmende Verbreitung von MCP als “verbindendes Gewebe für Unternehmensautomatisierung und agentische Anwendungen” hat auch neue Angriffswege eröffnet, wie DNS-Rebinding, um auf sensible Daten zuzugreifen. Diese Angriffe nutzen Server-Sent Events (SSE), ein von MCP-Servern für Echtzeit-Streaming-Kommunikation verwendetes Protokoll, aus. DNS-Rebinding-Angriffe täuschen den Browser eines Opfers, indem sie eine externe Domain als Teil des internen Netzwerks behandeln.

Um die Bedrohung durch solche Angriffe zu mindern, wird empfohlen, die Authentifizierung auf MCP-Servern durchzusetzen und den “Origin”-Header bei allen eingehenden Verbindungen zu überprüfen, um sicherzustellen, dass die Anfragen aus vertrauenswürdigen Quellen stammen. Diese Maßnahmen sind entscheidend, um die Sicherheit in einer zunehmend vernetzten und automatisierten Welt zu gewährleisten.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!