Microsoft 365 Copilot-Daten offengelegt – Von Zero-Click-Sicherheitsanfälligkeit betroffen

Sicherheitsforscher von Aim Security entdeckten „EchoLeak“, die erste bekannte Zero-Click-Sicherheitsanfälligkeit in Microsoft 365 Copilot, die es Angreifern ermöglichte, stillschweigend sensible Unternehmensdaten abzuziehen, indem sie einfach eine bösartig gestaltete E-Mail sendeten, die keine Interaktion des Benutzers, kein Klicken auf Links und keine Downloads erforderte.

„Diese Sicherheitsanfälligkeit stellt einen bedeutenden Durchbruch in der Forschung zur KI-Sicherheit dar, da sie zeigt, wie Angreifer automatisch die sensibelsten Informationen aus dem Kontext von Microsoft 365 Copilot exfiltrieren können, ohne dass eine Benutzerinteraktion erforderlich ist“, sagte Adir Gruss, Mitbegründer und CTO von Aim Security, während er den Zero-Click-Angriff beschrieb.

Was ist EchoLeak?

Entdeckt im Januar 2025 und nach der Behebung durch Microsofts MSRC-Team im Mai offengelegt, hätte EchoLeak es Angreifern ermöglichen können, sensible Informationen aus der verbundenen Microsoft 365-Umgebung eines Benutzers zu exfiltrieren, einschließlich Outlook-E-Mails, OneDrive-Dateien, Office-Dokumenten, SharePoint-Inhalten und Teams-Chatverläufen – einfach durch das Senden einer bösartig gestalteten E-Mail. Diese E-Mail hätte mehrere Sicherheitsvorkehrungen umgangen und Copilot dazu gebracht, interne Daten preiszugeben, die es ansonsten privat gehalten hätte.

Besonders alarmierend ist, dass der Angreifer kein Mitarbeiter der Organisation sein muss. Jeder externe Absender könnte den Angriff initiieren.

In einem Blogbeitrag am Mittwoch schrieb das Aim Labs-Team, dass EchoLeak ein Konzept ausnutzte, das sie als „Large Language Model (LLM) Scope Violation“ beschrieben. In diesem Fall sendet ein böswilliger Akteur eine harmlos aussehende E-Mail, die mit einem versteckten Prompt versehen ist, der mithilfe von Markdown-Formatierung getarnt ist.

Wenn ein Benutzer später Copilot eine verwandte Frage stellt, ruft die KI die E-Mail aus ihrem Kontext ab und führt unwissentlich die eingebetteten Anweisungen aus, wodurch sensible Daten aus internen Quellen wie Dokumenten, E-Mails oder Chats extrahiert werden.

Dann weist der Prompt des Angreifers Copilot an, die extrahierten Daten in ein Bild oder einen Link einzubetten. Dies führt dazu, dass der Browser automatisch die Ressource abruft, oft über vertrauenswürdige Microsoft-Domains wie SharePoint oder Teams, und die sensiblen Informationen sofort an einen vom Angreifer kontrollierten Server sendet, während der Benutzer völlig unwissend bleibt.

Wie die EchoLeak-Angriffskette funktioniert

Es gibt vier Phasen, in denen die Angriffskette funktioniert:

1. XPIA-Umgehung

Microsoft verwendet ein System namens XPIA (cross-prompt injection attack), um verdächtige Prompts zu erkennen und zu blockieren, bevor sie jemals die zugrunde liegende LLM von M365 Copilot erreichen. Aim Security stellte jedoch fest, dass Prompt-Injection-Angriffe XPIA-Klassifizierer leicht umgehen konnten, wenn sie als lässige Anleitung für den E-Mail-Empfänger formuliert wurden, indem sie vollständig Wörter wie KI/Assistenten/Copilot usw. vermieden.

2. Link-Redaktionsumgehung

Normalerweise redigiert Copilot externe Markdown-Links aus dem Chatverlauf, bevor der Benutzer die Möglichkeit hat, auf diese Links zu klicken.

Aber durch Tricks, wie z. B. Referenzstil-Markdown-Links, umgehen Angreifer die Redaktionsfilter von Copilot und werden nicht aus dem Chat von M365 Copilot entfernt. Diese Links werden dann stillschweigend im LLM-Ausgang exfiltriert.

3. Bild-Redaktionsumgehung
Um die Notwendigkeit zu beseitigen, dass der Benutzer überhaupt auf etwas klickt, verwenden Angreifer Referenzstil-Bild-Markdown. Der Browser versucht, das Bild von einem vom Angreifer kontrollierten Server zu „laden“, was dann automatisch die Datenexfiltration ohne Benutzerinteraktion auslöst.

4. CSP-Umgehung unter Verwendung von SharePoint

Da die meisten externen Domains durch Microsofts Content-Security Policy (CSP) blockiert sind, leiteten die Forscher ihren Exploit über genehmigte Microsoft-Dienste wie SharePoint und Microsoft Teams. Dies ermöglichte es dem Angreifer, sensible Copilot-Kontextdaten stillschweigend zu exfiltrieren, ohne dass eine Benutzerinteraktion, Erkennung oder zusätzliche Zugriffsberechtigungen erforderlich waren.

Über die technischen Mechanismen hinaus beruht der Exploit auf einer Taktik, die Aim Labs als „RAG Spraying“ bezeichnet, bei der Angreifer ihre Erfolgsquote erhöhen, indem sie das System mit einer langen E-Mail überschwemmen, die in Stücke zerlegt oder mehrere E-Mails erstellt wird, die auf wahrscheinliche Benutzeranfragen abgestimmt sind.

Sobald Copilot den bösartigen Inhalt abruft, folgt es unwissentlich den Anweisungen des Angreifers, um die sensibelsten Daten aus seinem internen Kontext zu extrahieren und an die Domain des Angreifers zu senden, ohne dass der Benutzer etwas davon bemerkt. Diese Exploit-Kette hebt kritische Designfehler in der Art und Weise hervor, wie KI-Assistenten mit internen Daten interagieren und Benutzereingaben interpretieren.

Microsofts Antwort

Microsoft hat der kritischen Zero-Click-Sicherheitsanfälligkeit die CVE-2025-32711 zugewiesen, mit einem CVSS-Score von 9,3, und im Mai 2025 einen serverseitigen Fix angewendet, was keine Benutzerintervention erforderte. Der Redmonder Riese stellte auch fest, dass es keine Hinweise auf eine reale Ausnutzung gibt und keine Kunden bekannt sind, die betroffen sind.

Angesichts der EchoLeak-Sicherheitsanfälligkeit wird Benutzern und Organisationen geraten, mehrere proaktive Schritte zu unternehmen, um potenzielle Risiken zu mindern. Dazu gehört das Deaktivieren des externen E-Mail-Kontexts in Copilot, um unzuverlässige Datenquellen zu begrenzen, das Überprüfen eingehender E-Mails auf Prompts, die Implementierung von KI-spezifischen Laufzeit-Schutzmaßnahmen auf Firewall-Ebene zur Überwachung und Blockierung ungewöhnlichen Verhaltens sowie die Einschränkung der Markdown-Darstellung in KI-Ausgaben, um Datenexfiltration über Links und Bilder zu verhindern.