Umgehung von Sicherheitsfunktionen Erste Zero-Click-Schwachstelle in Copilot entdeckt

Sicherheitsforscher von Aim Security entdeckten eine Sicherheits­lücke in Microsofts Copilot. Dabei handelt es sich um einen Designfehler, der auch in anderen RAG-Anwendungen und KI-Agenten vorkomme. Das Schlimme: Für die Exfiltration von Daten ist keine Interaktion mit dem Nutzer nötig.

Seit Anfang des Jahres waren Microsoft-Kunden von einer kritischen Sicherheitslücke bedroht, ohne dass sie oder der Hersteller selbst es wussten. Erst, als Sicherheitsforscher von Aim Labs, dem Analysten-Team von Aim Security, die Sicherheitslücke entdeckten und eine mögliche Angriffskette aufzeigten, konnte das Risiko behoben werden. Und dieses war groß: Denn die Schwachstelle betrifft Microsoft 365 Copilot, der KI-Assistent, den der Hersteller in fast alle bekannten Anwendungen integriert hat, von Word und Excel bis Microsoft und Teams. Dazu kommt, dass es sich bei „EchoLeak“ wie die Analysten ihre Entdeckung tauften, um eine Zero-Click-Schwachstelle handelt. Das bedeutet, dass Cyberkriminelle in der Lage wären, die Sicherheitslücke auszunutzen und möglicherweise sensible Daten abzugreifen, ohne dass eine Interaktion des Nutzers erforderlich wäre.

ChatGPT, Copilot und DeepSeek getäuscht

Neue Jailbreak-Taktik zwingt LLMs dazu, Passwörter zu stehlen

Neue LLM-Ausnutzungstechnik

Im Juni veröffentlichte Microsoft einen Patch für die Schwachstelle, die unter der ID CVE-2025-32711 (CVSS 9.3) als Common Vulnerability and Exposure aufgenommen wurde. Dabei handelt es sich um eine „AI-Code-Injection-Schwachstelle“. Aim Labs nannte diese Angriffstechnik „LLM Scope Violation“ und beschreibt sie als eine neue Ausnutzungstechnik. Wie die Analysten demonstrierten, seien sie in der Lage gewesen, das Large Language Model (LLM) hinter Copilot dazu zu bringen, Informationen preiszugeben, die außerhalb seines vorhergesehenen Kontextes (Scope) liegen. Dabei hätten sie interne Funktionsmechanismen des Modells ausgenutzt, ohne dass dieser Zugriff autorisiert war.

KI-Chatbots lassen sich manipulieren

Microsoft meldet Jailbreak für GPT, Llama und Gemini

Doch diese Art von Ausnutzung könne auch in anderen RAG-basierten (Retrieval-Augmented Generation) Chatbots und KI-Agenten auftreten. Dabei handelt es sich um eine Architektur, bei der ein KI-Modell externe Datenquellen, wie Datenbanken oder Dokumente, abfragt, um auf dieser Basis kontextbasierte Antworten zu generieren. Somit würden Cyberkriminelle mithilfe von CVE-2025-32711 nicht klassische IT-Sicherheitsmechanismen wie Passwörter, Firewalls oder APIs angreifen, sondern die interne Logik des KI-Modells.

Generative KI

Risiken von Large Language Models

Aim Labs entwickelte einen vierstufigen Exploit:

• 1. XPIA-Schutz (cross/indirect prompt injection attack) umgehen: Die Analysten verfassten eine manipulierte E-Mail mit versteckten Anweisungen (Prompt Injection) an das Sprachmodell von Microsoft 365 Copilot, ohne dabei Begriffe wie „KI“ oder „Copilot“ zu verwenden, um den XPIA-Schutzmechanismus (Cross-Prompt Injection Classifier) zu umgehen. Diese E-Mail sendeten sie in ihrer Exploit-Darstellung an Personen, die Microsoft 365 Copilot nutzten. Während die Opfer die E-Mail für harmlos hielten, interpretierte das LLM den versteckten Prompt als legitimen Befehl, ein Bild als Antwort auf die Nachricht zu generieren. Daraufhin rief das RAG-basierte LLM relevante Inhalte aus dem Microsoft-365-Konto der betroffenen Person ab. Diese Daten speiste die KI als Kontext in ihre Antwort ein, welche im Falle eines echten Cyberangriffs der Jackpot für Angreifer wären.

• 2. Automatische Link-Redigierung umgehen: Nun wollten die Forscher diese sensiblen Daten des Copilot-Nutzers nach außen transportieren. Sie instruierten Copilot mit einem Prompt, in der Antwort auf die erste E-Mail einen sogenannten Referenz-Link im Markdown-Format zu erzeugen. Denn solche Links kann Copilot nicht erkennen, weshalb eine entsprechende Sicherheitsüberprüfung entfällt. Dieser Link diente als ausgehender Kanal und verwies auf eine Fremd-Domain. Der Referenz-Link enthielt dann im URL-Parameter die sensiblen Daten, die Copilot aus dem LLM-Kontext bezogen hat.

• 3. Automatische Bild-Entfernung umgehen: Statt darauf zu warten, dass der Mitarbeiter auf den Referenz-Link klickt, ließen die Analysten die KI ein Markdown-Bild mit externer URL generieren. Denn solche Bilder werden vom Browser automatisch geladen, sobald sie angezeigt werden. Und da Markdown-Bilder ähnlich wie Markdown-Links formatiert werden, erkennt Copilot diese nicht. Weil dadurch kein Zutun des Nutzers nötig ist und keine Überprüfung erfolgt, handelt es sich hierbei um einen Zero-Click-Angriff.

• 4. CSP-Bypass über SharePoint: Eine Hürde gab es jedoch noch für die Sicherheitsforscher: die Microsofts Content-Security-Policy (CSP). Diese Richtlinie legt fest, dass nur Bilder von bestimmten, vorab definierten Domains geladen werden dürfen. Da der Browser bei Markdown-Bildern automatisch ein Bild erwartet, folgt er keinen Weiterleitungen und führt auch keinen client-seitigen Code aus. Stattdessen erfolgte eine Prüfung der zulässigen Domänen. Die beispielhaft verwendete „evil.com“ war nicht enthalten, was das automatische Laden des Bildes durch den Browser verhinderte. Statt der Beispiel-Domäne verwendeten die Forscher also eine von der CSP zugelassene Sharepoint-Domäne. Durch die Anfrage dieses Servers, für die kein client-seitiger Code nötig war, konnten die Analysten eingebettete Daten abrufen. Voraussetzung hierfür war jedoch, dass sich der Nutzer mit seinem Sharepoint-Konto verband und die Einladung der Analysten annahm, damit sie dessen Sharepoint-Seite besuchen konnten.

Black Hat 2024 – 15 Ways to Break Your Copilot

Sicherheitsforscher zeigt wie man Copilot missbrauchen kann

Microsoft zufolge seien bisher keine Kunden von CVE-2025-32711 betroffen gewesen. Da die Sicherheitslücke serverseitig geschlossen wurde, besteht für Unternehmen kein Handlungs­bedarf. Allerdings bietet der Hersteller die Möglichkeit, DLP-Tags (Data Loss Prevention) zu verwenden und Copilot so zu konfigurieren, dass das Sprachmodell keine externen E-Mails verarbeitet. Zudem gaben die Forscher von Aim in ihrem Bericht an, basierend auf ihren Erkenntnissen Echtzeit-Schutzmaßnahmen entwickelt zu haben, die vor solchen Schwachstellen schützen.

Security-Risiko KI

Die fünf größten Security-Risiken bei Microsoft Copilot

(ID:50455580)