AIO APEX
Security

Forscher verwandeln Microsoft 365 Copilot in ein Ein-Klick-Tool zum Diebstahl von E-Mails und Dokumenten

BleepingComputer
Teilen:
Forscher verwandeln Microsoft 365 Copilot in ein Ein-Klick-Tool zum Diebstahl von E-Mails und Dokumenten

Sicherheitsforscher von Varonis haben am 15. Juni eine kritische Schwachstellenkette in Microsoft 365 Copilot Enterprise Search offengelegt, die es Angreifern ermöglichte, E-Mails, Kalendereinträge, in E-Mails gespeicherte Passwörter und SharePoint-Dokumente mit nichts weiter als einem bösartigen Link zu stehlen. Microsoft, das den Fehler CVE-2026-42824 als Kritisch einstufte und Anfang Juni 2026 patchte, bestätigte, dass die Technik lautlos funktionierte – die Opfer sahen keinen Hinweis darauf, dass ihre Daten gesammelt wurden.

Varonis nannte den Angriff „SearchLeak“. Er verknüpft drei separate Schwachstellen zu einem einzigen automatisierten Exfiltrationspfad, der sowohl die Inhaltsbereinigung von Microsoft als auch deren Content Security Policy-Schutzmaßnahmen umgeht. Wie BleepingComputer berichtete, wurde keine aktive Ausnutzung festgestellt, aber die Technik ist einfach genug, dass eine Ausnutzung vor dem Patch plausibel war.

Wie die dreistufige Angriffskette funktioniert

Der Angriff beginnt mit einer URL. Ein Angreifer sendet dem Opfer einen Link – eingebettet in eine Phishing-E-Mail, Slack-Nachricht oder Teams-Chat – der auf die Microsoft 365 Copilot-Suche mit einem manipulierten Abfrageparameter verweist. Diese Abfrage weist die KI von Copilot an, in den E-Mails des Benutzers zu suchen und bestimmte Inhalte wie Zugangscodes oder Besprechungsdetails zu extrahieren und diese dann in eine ausgehende Bild-URL einzubetten.

Stufe zwei nutzt eine Race Condition in der Art und Weise aus, wie Copilot während des Streamings HTML rendert. Bevor die Bereinigungsschicht von Microsoft gefährliche Tags entfernen kann, wird ein <img>-Element in der Rohausgabe ausgelöst – es wird eine ausgehende HTTP-Anfrage gestellt, die die gestohlenen Daten in den URL-Parametern trägt. Dies geschieht in Millisekunden, bevor der Benutzer etwas Ungewöhnliches sieht.

Stufe drei umgeht die Content Security Policy von Copilot, die ausgehende Anfragen an unbekannte Server blockieren sollte. Varonis fand heraus, dass sie die Exfiltration über die Funktion „Bildersuche“ von Bing leiten konnten – einen vertrauenswürdigen Microsoft-Dienst, den Copilot kontaktieren darf. Die gestohlenen Daten erreichen den Server des Angreifers, nachdem sie die gesamte Zeit über die Microsoft-Infrastruktur gelaufen sind.

Welche Daten gefährdet waren

Durch einen einzigen manipulierten Link konnte die Kette praktisch alle Inhalte extrahieren, die für die Copilot Enterprise-Lizenz des Benutzers zugänglich sind: E-Mail-Textkörper (einschließlich Einmalcodes, Links zum Zurücksetzen von Passwörtern und internen Anmeldeinformationen, die per E-Mail geteilt wurden), Kalenderereignisse mit Teilnehmern und Besprechungsinhalten, SharePoint- und OneDrive-Dokumente sowie alles andere, das in der Unternehmenssuche indexiert ist. Der Umfang wird dadurch bestimmt, wonach die KI suchen soll – ein Angreifer könnte bestimmte Schlüsselwörter, aktuelle E-Mails oder benannte Dateitypen anvisieren.

Die lautlose Natur des Angriffs macht ihn besonders besorgniserregend. Im Gegensatz zu browserbasiertem XSS gibt es keine sichtbare Weiterleitung, keine Seitenänderung und keinen Fehler. Ein Opfer, das in einer Phishing-E-Mail auf einen Link klickt, würde einfach ein normales Copilot-Suchergebnis sehen – während seine Daten im Hintergrund das Gebäude verließen.

Das größere Muster: KI als Angriffsfläche

SearchLeak folgt einem wachsenden Muster, bei dem Forscher feststellen, dass KI-Tools für Unternehmen neue Angriffsflächen einführen, die nicht nahtlos in bestehende Abwehrmaßnahmen passen. Prompt Injection – die Technik in der ersten Stufe dieser Kette – ist keine traditionelle Code-Schwachstelle. Sie nutzt die Tatsache aus, dass KI-Assistenten natürlichsprachliche Anweisungen akzeptieren, und eine vom Angreifer kontrollierte Anweisung (eingebettet in einen URL-Parameter) wird genauso interpretiert wie eine legitime Benutzeranfrage.

Microsoft war in den letzten 18 Monaten mit ähnlichen Offenlegungen in Copilot for Microsoft 365, Azure OpenAI Service und Bing Chat konfrontiert. Der gemeinsame Nenner: Inhaltsbereinigung und Sicherheitsrichtlinien, die für Webseiten entwickelt wurden, erstrecken sich nicht automatisch auf KI-generierte Ausgaben, die HTML, eingebettete Links und externe Ressourcenanfragen enthalten können, die vom Modell selbst und nicht vom Seitenautor erzeugt werden.

Abhilfe

Microsoft patchte CVE-2026-42824 Anfang Juni 2026 serverseitig im Rahmen eines breiteren Copilot-Dienstupdates, wobei der Fix alle Kunden vor der öffentlichen Offenlegung erreichte. Es ist keine Benutzeraktion oder Client-Aktualisierung erforderlich. Organisationen, die Microsoft 365 Copilot Enterprise verwenden, sollten bestätigen, dass sie auf einer Dienstversion nach Juni sind, und Sicherheitsteams sollten prüfen, ob ähnliche Parameterinjektionsrisiken in internen KI-Tools bestehen, die URL-basierte Abfrageparameter akzeptieren.

enterprise-securityCopilot+prompt injectionmicrosoft-365cve-2026-42824varonisdata-exfiltration

Originally reported by BleepingComputer. Read the original article for additional details.

View original source
Teilen: