LONDON (IT BOLTWISE) – Eine neuartige Angriffstechnik namens EchoLeak hat eine kritische Sicherheitslücke in Microsoft 365 Copilot aufgedeckt, die es Angreifern ermöglicht, sensible Daten ohne jegliche Benutzerinteraktion zu exfiltrieren.
Die Sicherheitslücke, die als EchoLeak bekannt ist, stellt eine ernsthafte Bedrohung für Microsoft 365 Copilot dar. Diese Schwachstelle ermöglicht es Angreifern, sensible Daten ohne jegliche Benutzerinteraktion zu stehlen. Microsoft hat die Schwachstelle, die als CVE-2025-32711 identifiziert wurde, bereits behoben. Es gibt keine Hinweise darauf, dass diese Schwachstelle bisher in freier Wildbahn ausgenutzt wurde.
Die Schwachstelle wird als eine Form der KI-Befehlsinjektion beschrieben, die es einem nicht autorisierten Angreifer ermöglicht, Informationen über ein Netzwerk offenzulegen. Aim Security, das Unternehmen, das die Schwachstelle entdeckt hat, beschreibt sie als eine Verletzung des Geltungsbereichs von großen Sprachmodellen (LLM), die zu einer indirekten Befehlsinjektion führen kann.
Ein LLM-Geltungsbereichsverstoß tritt auf, wenn ein Angreifer Anweisungen in nicht vertrauenswürdigen Inhalten, wie z.B. einer E-Mail, einbettet, die das KI-System dazu verleiten, auf sensible interne Daten zuzugreifen und diese zu verarbeiten, ohne dass der Benutzer dies beabsichtigt oder eingreift. Diese Ketten ermöglichen es Angreifern, sensible und proprietäre Informationen aus dem Kontext von M365 Copilot zu exfiltrieren, ohne dass der Benutzer davon Kenntnis hat oder ein bestimmtes Verhalten zeigt.
Der Angriff verläuft in mehreren Schritten: Zunächst sendet der Angreifer eine harmlos aussehende E-Mail an das Outlook-Postfach eines Mitarbeiters, die den LLM-Geltungsbereichsverstoß-Exploit enthält. Wenn der Benutzer Microsoft 365 Copilot eine geschäftsbezogene Frage stellt, mischt Copilot die nicht vertrauenswürdigen Eingaben des Angreifers mit sensiblen Daten im LLM-Kontext. Schließlich leakt Copilot die sensiblen Daten über Microsoft Teams und SharePoint-URLs an den Angreifer.
EchoLeak eröffnet weitreichende Möglichkeiten für Datenexfiltration und Erpressungsangriffe durch motivierte Bedrohungsakteure. In einer sich ständig weiterentwickelnden Welt zeigt es die potenziellen Risiken auf, die im Design von Agenten und Chatbots inhärent sind. Der Angriff ermöglicht es dem Angreifer, die sensibelsten Daten aus dem aktuellen LLM-Kontext zu exfiltrieren, ohne auf spezifisches Benutzerverhalten angewiesen zu sein, und kann sowohl in Einzel- als auch in Mehrfachgesprächen ausgeführt werden.
Zusätzlich zu EchoLeak hat CyberArk einen Tool-Poisoning-Angriff (TPA) aufgedeckt, der den Model Context Protocol (MCP)-Standard betrifft. Dieser Angriff, der als Full-Schema Poisoning (FSP) bezeichnet wird, geht über die Toolbeschreibung hinaus und erstreckt sich über das gesamte Tool-Schema. Der Angriff nutzt die optimistische Vertrauensmodell von MCP aus, das syntaktische Korrektheit mit semantischer Sicherheit gleichsetzt und annimmt, dass LLMs nur über explizit dokumentierte Verhaltensweisen nachdenken.
Darüber hinaus könnten TPA und FSP genutzt werden, um fortgeschrittene Tool-Poisoning-Angriffe (ATPA) zu inszenieren, bei denen der Angreifer ein Tool mit einer harmlosen Beschreibung entwirft, aber eine gefälschte Fehlermeldung anzeigt, die das LLM dazu verleitet, auf sensible Daten zuzugreifen, um das angebliche Problem zu lösen. Da LLM-Agenten immer fähiger und autonomer werden, wird ihre Interaktion mit externen Tools über Protokolle wie MCP bestimmen, wie sicher und zuverlässig sie arbeiten.
Ein kürzlich entdeckter kritischer Sicherheitsfehler in der beliebten GitHub-MCP-Integration zeigt, dass ein Angreifer einen Benutzeragenten über ein bösartiges GitHub-Issue kapern und ihn dazu zwingen könnte, Daten aus privaten Repositories zu leaken, wenn der Benutzer das Modell auffordert, sich die Issues anzusehen. Diese Schwachstelle kann nicht allein durch serverseitige Patches von GitHub behoben werden, da es sich um ein grundlegendes architektonisches Problem handelt, das erfordert, dass Benutzer granulare Berechtigungskontrollen implementieren, um sicherzustellen, dass der Agent nur auf die Repositories zugreifen kann, mit denen er interagieren muss, und die Interaktionen zwischen Agenten und MCP-Systemen kontinuierlich zu überprüfen.
Die rasante Entwicklung von MCP als “Verbindungselement für Unternehmensautomatisierung und agentische Anwendungen” hat auch neue Angriffsmöglichkeiten eröffnet, wie z.B. DNS-Rebinding, um auf sensible Daten zuzugreifen, indem Server-Sent Events (SSE) ausgenutzt werden, ein Protokoll, das von MCP-Servern für die Echtzeit-Streaming-Kommunikation mit MCP-Clients verwendet wird.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Bauprojektleiter Technische Gebäudeausrüstung (TGA) für KI- Rechenzentrumprojekte (m/w/d); HN oder B
Bachelorand (d/m/w) im Bereich Künstliche Intelligenz im Produktmarketing
Trainee (m/w/d) Controlling mit Schwerpunkt Business Intelligence (BI) und Künstliche Intelligenz (KI)
Tech Lead (m/f/d) - AI Research @audEERING GmbH
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Zero-Click KI-Schwachstelle gefährdet Microsoft 365 Copilot-Daten" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Zero-Click KI-Schwachstelle gefährdet Microsoft 365 Copilot-Daten" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »Zero-Click KI-Schwachstelle gefährdet Microsoft 365 Copilot-Daten« bei Google Deutschland suchen, bei Bing oder Google News!