{"id":312635,"date":"2025-06-13T08:34:11","date_gmt":"2025-06-13T06:34:11","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=312635"},"modified":"2025-06-15T00:38:36","modified_gmt":"2025-06-14T22:38:36","slug":"echoleak-erste-ai-0-click-sicherheitsluecke-in-microsoft-copilot","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/06\/13\/echoleak-erste-ai-0-click-sicherheitsluecke-in-microsoft-copilot\/","title":{"rendered":"EchoLeak: Erste AI 0-Click-Sicherheitsl\u00fccke in Microsoft Copilot"},"content":{"rendered":"

\"Copilot\"[English<\/a>]Sicherheitsforscher sind auf die erste Zero-Click-Schwachstelle in einer KI-Anwendung gesto\u00dfen. Wenig \u00fcberraschend f\u00fcr mich betrifft dies Microsoft 365 Copilot. Angreifer k\u00f6nnten Microsoft 365 Copilot \u00fcber diese,\u00a0 als EchoLeak bezeichnete, Schwachstelle zu einer Datenexfiltration zwingen.<\/p>\n

<\/p>\n

\"\"Microsoft \"st\u00fclpt\" ja allen Office-Anwendern den Copilot \u00fcber, wenn deren Administratoren nicht entsprechend eingreifen. Problematisch wird dies vor allem, weil die alten GPOs zum Deaktivieren nicht mehr greifen. Neben dem Umstand, dass Anwendern pl\u00f6tzlich ungewollte Funktionen bereitgestellt werden, stellt sich auch die Frage der Sicherheit. Wandern ungewollt vertrauliche Daten ab? K\u00f6nnte eine Sicherheitsl\u00fccke meine Unternehmensumgebung gef\u00e4hrden?<\/p>\n

Das sind sicherlich Fragen, die IT-Verantwortliche besch\u00e4ftigen. Ich erinnere an meinen Blog-Beitrag\u00a0BlackHat 2024: Remote Code Execution-Angriff auf M365 Copilot per E-Mail<\/a>, wo ein solches Szenario angerissen wurde. Nun gibt es den n\u00e4chsten Fall.<\/p>\n

Erste AI-Schwachstelle in Copilot entdeckt<\/h2>\n

Es ist ein Nachtrag, da AIM Labs diese EchoLeak-Schwachstelle bereits zum 11. Juni 2025 im Beitrag\u00a0Breaking down 'EchoLeak', the First Zero-Click AI Vulnerability Enabling Data Exfiltration from Microsoft 365 Copilot<\/a> offen gelegt haben.<\/p>\n

Sicherheitsforscher des Startups Aim Labs sind auf eine kritische Zero-Click-KI-Schwachstelle, die sie EchoLeak genannt haben, gesto\u00dfen. Die Schwachstelle steckt im Copilot, der mit Microsoft 365 (M365) ausgerollt wird. Die Sicherheitsforscher skizzieren eine als \"LLM Scope Violation\" bezeichnete Angriffskette, die sich auf Copilot anwenden l\u00e4sst, um Informationen abzuziehen. AIM Labs schreibt, dass diese neue Technik zum Missbrauch\u00a0m\u00f6glicherweise auch in anderen RAG-basierten Chatbots und KI-Agenten zum Einsatz kommen k\u00f6nne.<\/p>\n

Das K\u00fcrzel RAG steht f\u00fcr Retrieval-Augmented Generation, und bezieht sich auf KI-gest\u00fctzte Chatbots, die eine zus\u00e4tzliche Schicht der Informationsabfrage und -generierung verwenden.\u00a0<\/span>Der KI-Chatbot kombiniert die St\u00e4rken von Suchmaschinen mit den M\u00f6glichkeiten gro\u00dfer Sprachmodelle (LLMs). <\/span>Im Wesentlichen wird ein LLM mit relevanten Informationen aus einer externen Wissensdatenbank oder einem Knowledge Base ausgestattet, um genauere und kontextbezogene Antworten zu generieren.\u00a0<\/span><\/span><\/span><\/p><\/blockquote>\n

Normalerweise geht man davon aus, dass nur Mitarbeiter eines Unternehmens Zugriff auf Copilot besitzen, so dass die abgerufenen Informationen im Unternehmen bleiben. Ad-hoc stelle ich mir aber die Frage, was passiert, wenn es einem Mitarbeiter gelingt, sensible Informationen der Personalabteilung \u00fcber die Geh\u00e4lter von Mitarbeitern, oder brisante Mails der Gesch\u00e4ftsf\u00fchrung, die \"Auto-ausgewertet von Copilot\" in eine firmeninternes LLM geflossen sind, abzurufen?<\/p>\n

Remote-Angriffe per E-Mail auf Copilot<\/h3>\n

Aber die oben erw\u00e4hnte EchoLeak-Schwachstelle scheint noch brisanter, wenn ich es richtig interpretiere. Die Sicherheitsforscher geben an, dass unbefugte Dritte Informationen aus Copilot abrufen k\u00f6nnen, obwohl die Schnittstelle von M365 Copilot nur f\u00fcr Mitarbeiter des Unternehmens zug\u00e4nglich ist.<\/p>\n

Dabei haben die Sicherheitsforscher die in meinen Blog-Beitrag\u00a0BlackHat 2024: Remote Code Execution-Angriff auf M365 Copilot per E-Mail<\/a> erw\u00e4hnte Angriffsmethode etwas weiter entwickelt. Sie schreiben: Um einen Angriff erfolgreich durchzuf\u00fchren, muss ein Angreifer lediglich eine E-Mail an das Opfer senden. Sofern die E-Mail des Absenders\u00a0 nicht irgendwie beim Empf\u00e4nger eingeschr\u00e4nkt wurde (so dass keine Informationen an den Absender zur\u00fcck geliefert werden), steht der Zugriff auf die \"Copilot-Kronjuwelen\" offen.<\/p>\n

Hintergrund ist, dass Copilot in den Office-Anwendungen integriert ist und Zugriff auf alle Dokumente des Unternehmen besitzt. Copilot soll ja diese Dokumente auf Inhalte analysieren, so dass Prompts (\"gibt mir alle Mitarbeiter mit einem Monatsgehalt gr\u00f6\u00dfer 7.000 Euro an\") dem Benutzer die relevanten Informationen liefern.<\/p>\n

Trifft eine E-Mail in Outlook ein, lie\u00dfen sich Techniken nutzen, um auf Copilot zuzugreifen und diese AI-L\u00f6sung anzuweisen, bestimmte Informationen zur\u00fcck zu liefern. Diese lie\u00dfen sich \u00fcber aktive Inhalte der E-Mail dann an den Angreifer \u00fcbermitteln. Dabei werden alle in Copilot eingebauten Sicherheitsmechanismen \u00fcberwunden – hei\u00dft es.<\/p>\n

Gleich mehrere Schwachstellen gemeldet<\/h3>\n

Die Sicherheitsforscher haben dabei laut eigener Aussage dem MSRC-Team von Microsoft gleich mehrere Angriffsketten auf Copilot gemeldet, die sich ausnutzen lassen. Als Zero-Click-KI-Schwachstelle er\u00f6ffnet EchoLeak, laut den Entdeckern, motivierten Bedrohungsakteuren weitreichende M\u00f6glichkeiten f\u00fcr Datenexfiltration und Erpressungsangriffe.<\/p>\n

Diese Angriffsmethoden sowie die sich daraus ergebenden M\u00f6glichkeiten sind detaillierter im oben verlinkten Beitrag der Sicherheitsforscher beschrieben. Dort findet sich auch eine FAQ mit Antworten, wer betroffen sein konnte und welche Daten h\u00e4tten abflie\u00dfen k\u00f6nnen. Die Entdecker schreiben aber, dass ihnen kein Fall eines Datenabflusses bekannt sei.<\/p>\n

Microsoft brauchte f\u00fcnf Monate bis zum Fix<\/h3>\n

Die Sicherheitsforscher haben ihre Entdeckung (laut dieser Quelle<\/a>) wohl im Januar 2025 an das Microsoft Security Response Center gemeldet. Laut Quelle dauerte es dann geschlagene f\u00fcnf Monate, bis etwas passierte. H\u00f6rt sich im O-Ton von Microsoft dann weitaus positiver an.\u00a0Ein Microsoft-Sprecher schrieb der Quelle:<\/p>\n

\"Wir sind Aim dankbar, dass das erkannte Problem verantwortungsbewusst gemeldet wurde, so dass es behoben werden konnte, bevor unsere Kunden davon betroffen waren. Wir haben unsere Produkte bereits aktualisiert, um dieses Problem zu entsch\u00e4rfen, und es sind keine Ma\u00dfnahmen f\u00fcr Kunden erforderlich. Wir sind au\u00dferdem dabei, zus\u00e4tzliche Defense-in-Depth-Ma\u00dfnahmen zu implementieren, um unsere Sicherheitsvorkehrungen weiter zu st\u00e4rken.\"<\/p><\/blockquote>\n

Die Sicherheitsforscher lie\u00dfen verlautbaren, dass die Microsoft-Sicherheitsverantwortlichen die Entdeckung des Angriffsvektors als \"bahnbrechend\" einstuften. Kann Wortklingelei sein, denn auf Grund meines Blog-Beitrags BlackHat 2024: Remote Code Execution-Angriff auf M365 Copilot per E-Mail<\/a> h\u00e4tte Microsoft das Problem potentiell bekannt sein m\u00fcssen. M\u00f6glicherweise waren aber die Angriffsvarianten und die Tragweite bis zur Meldung unklar. Dieser Fall zeigt erneut, welche potenziellen Risiken in einer Welt, in der sich Agenten und Chatbots weiter entwickeln, und teilweise im Wochentakt – weit gehend ungepr\u00fcft – auf die Anwender losgelassen werden, lauern.<\/p>\n

Meine Gedanken dazu<\/h2>\n

Der obige Sachverhalt treibt mich wegen des Sicherheitsaspekts besonders um, weil derzeit ein \"Ratten-Rennen\" der Anbieter zu beobachten ist, wer am schnellsten alles mit AI-Funktionen platt macht. Der Anwender kommt in dieser Gleichung schlicht nicht vor. Daher bekommt das Ganze nochmals eine besondere Brisanz.<\/p>\n

Auf den Energieverbrauch f\u00fcr diese KI-L\u00f6sungen und auf die DSGVO- und Sicherheitsfragen hatte ich in diversen Blog-Beitr\u00e4gen hingewiesen. Aber auch der Nutzen dieser AI-Ans\u00e4tze scheint arg fraglich (hatte ich auch schon mal angerissen).<\/p>\n

Bei den Kollegen von Golem bin die Tage auf den Beitrag\u00a0Entwickler-Tools: Ein F\u00fcnftel der IT-Manager sieht KI nicht als Verbesserung<\/a> gesto\u00dfen. Im Bereich Software-Entwicklung ist die Erfahrung der IT-Verantwortlichen in Bezug auf AI-gest\u00fctzte Software-Entwicklung sehr ern\u00fcchternd. Es werden nur marginale Vorteile in der Breite konstatiert – auf Deutsch: Das Zeugs ist ziemlich nutzlos, wenn Kosten gegen Nutzen aufgerechnet wird.\u00a0Der obige Artikel geht auf eine Umfrage 2025 State\u2028of AI code quality<\/a> von Qodo zur\u00fcck, die von The Register hier aufgegriffen<\/a> wurde.<\/p>\n

Zudem ist mir die Tage der Beitrag\u00a0Enterprises are getting stuck in AI pilot hell, say Chatterbox Labs execs<\/a> bei The Register untergekommen. Die Redaktion hat ein Interview mit Danny Coleman, CEO von Chatterbox Labs, und Stuart Battersby, CTO von Chatterbox Labs, gef\u00fchrt. Es geht um die Frage, warum Unternehmen bisher nur langsam von KI-Pilotversuchen zum Produktionseinsatz \u00fcbergegangen sind. Die Kernaussage: Bevor KI in Unternehmen allt\u00e4glich wird, m\u00fcssten sich Unternehmensleiter zu einem kontinuierlichen Sicherheitstestprogramm verpflichten, das auf die Nuancen von KI-Modellen abgestimmt ist. Aber wenn das Management keine Ahnung hat, kommt so etwas wie oben skizziert heraus und alles reibt sich die Augen \"wie konnte das nur passieren, hat ja keiner ahnen k\u00f6nnen\". Oder wie seht ihr das?<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nMicrosoft Copilot per GPO abschalten<\/a>
\nMicrosoft Copilot wird ungewollt aktiviert<\/a>
\nMicrosoft 365 (Copilot) App hei\u00dft ab 2025 einfach Microsoft 365 Copilot<\/a>
\nBUILD 2025: Outlook soll Copilot-Funktionen bekommen<\/a>
\nAchtung: CoPilot in Office-Apps standardm\u00e4\u00dfig aktiviert \u2013 AI-Training wird bestritten<\/a>
\nMicrosoft Copilot kommt \u2013 KI-Funktionen f\u00fcr alles?<\/a>
\nB\u00fcchse der Pandora: Die Gesundheitsdaten, KI (Copilot, Adobe AI) und der Patienten-\/Datenschutz<\/a>
\nCopilot+AI: Recall-Sicherheitsdesaster- KI-gest\u00fctzter Diebstahl<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Sicherheitsforscher sind auf die erste Zero-Click-Schwachstelle in einer KI-Anwendung gesto\u00dfen. Wenig \u00fcberraschend f\u00fcr mich betrifft dies Microsoft 365 Copilot. Angreifer k\u00f6nnten Microsoft 365 Copilot \u00fcber diese,\u00a0 als EchoLeak bezeichnete, Schwachstelle zu einer Datenexfiltration zwingen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[153,426,7459,301],"tags":[8393,4328,3288],"class_list":["post-312635","post","type-post","status-publish","format-standard","hentry","category-microsoft-office","category-sicherheit","category-software","category-windows","tag-copilot","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/312635","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=312635"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/312635\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=312635"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=312635"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=312635"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}