EchoLeak Zero-Click-KI-Angriff in Microsoft Copilot legt Unternehmensdaten offen

Das Cybersicherheitsunternehmen Aim Labs hat ein schwerwiegendes neues Sicherheitsproblem namens EchoLeak entdeckt, das Microsoft 365 (M365) Copilot , einen beliebten KI-Assistenten, betrifft. Es handelt sich um eine Zero-Click-Sicherheitslücke, die es Angreifern ermöglicht, vertrauliche Unternehmensinformationen ohne Benutzerinteraktion zu stehlen.

Aim Labs hat dem Sicherheitsteam von Microsoft Einzelheiten zu dieser Sicherheitslücke und ihrer Ausnutzung mitgeteilt und ist bislang nicht bekannt, dass ein Kunde von dieser neuen Bedrohung betroffen ist.

Zu Ihrer Information: M365 Copilot ist ein RAG-basierter Chatbot. Das bedeutet, dass er Informationen aus der Unternehmensumgebung eines Benutzers wie E-Mails, Dateien auf OneDrive, SharePoint-Sites und Team-Chats sammelt, um Fragen zu beantworten. Obwohl Copilot nur auf Dateien zugreifen kann, für die der Benutzer die Berechtigung hat, können diese Dateien dennoch private oder geheime Unternehmensdaten enthalten.

Das Hauptproblem von EchoLeak ist eine neue Angriffsart, die Aim Labs als LLM Scope Violation bezeichnet. Dies geschieht, wenn Anweisungen eines Angreifers in einer nicht vertrauenswürdigen E-Mail die KI (das Large Language Model, kurz LLM) dazu veranlassen, fälschlicherweise auf private Unternehmensdaten zuzugreifen. Dadurch bricht die KI im Wesentlichen ihre eigenen Regeln, welche Informationen sie einsehen darf. Aim Labs beschreibt dies als eine „unterprivilegierte E-Mail“, die irgendwie „auf privilegierte Daten zugreifen“ kann.

Der Angriff beginnt, sobald das Opfer eine E-Mail erhält, die so geschickt formuliert ist, dass sie wie Anweisungen für den Empfänger aussieht, nicht für die KI. Dieser Trick hilft der KI, Microsofts Sicherheitsfilter, sogenannte XPIA-Klassifizierer, zu umgehen, die schädliche KI-Anweisungen stoppen. Sobald Copilot die E-Mail liest, kann er dazu gebracht werden, vertrauliche Informationen aus dem Unternehmensnetzwerk zu senden.

Aim Labs erklärte, dass sie, um an die Daten zu gelangen, Wege finden mussten, die Abwehrmechanismen von Copilot zu umgehen, beispielsweise dessen Versuche, externe Links zu verbergen und die Datenübermittlung zu kontrollieren. Sie fanden clevere Methoden, um den Umgang mit Links und Bildern sowie die Verwaltung von URLs in SharePoint und Microsoft Teams zu nutzen, um heimlich Daten an den Server des Angreifers zu senden. So fanden sie beispielsweise eine Möglichkeit, über eine bestimmte Microsoft Teams-URL ohne Benutzeraktion geheime Informationen abzurufen.

Diese Entdeckung zeigt, dass viele KI-Chatbots und -Agenten allgemeine Designprobleme aufweisen. Im Gegensatz zu früheren Untersuchungen hat Aim Labs einen praktischen Ansatz aufgezeigt, mit dem dieser Angriff zum Diebstahl sensibler Daten genutzt werden kann. Für den Angriff ist nicht einmal ein Gespräch mit Copilot erforderlich.

Aim Labs diskutierte auch über RAG-Spraying, mit dem Angreifer ihre schädlichen E-Mails häufiger von Copilot erfassen lassen, selbst wenn Nutzer zu unterschiedlichen Themen fragen. Durch das Versenden sehr langer, in viele Teile zerlegter E-Mails erhöht sich die Wahrscheinlichkeit, dass ein Teil für die Anfrage eines Nutzers relevant ist. Organisationen, die M365 Copilot nutzen, sollten sich dieser neuen Bedrohungsart bewusst sein.

Ensar Seker , CISO bei SOCRadar, warnt, dass die EchoLeak-Ergebnisse von Aim Labs eine große KI-Sicherheitslücke aufdecken. Der Exploit zeigt, wie Angreifer Daten aus Microsoft 365 Copilot mit nur einer E-Mail extrahieren können, ohne dass eine Benutzerinteraktion erforderlich ist. Durch die Umgehung von Filtern und die Ausnutzung von LLM-Bereichsverletzungen werden tiefere Risiken im KI-Agenten-Design deutlich.

Seker fordert Unternehmen dringend dazu auf, KI-Assistenten wie kritische Infrastruktur zu behandeln, strengere Eingabekontrollen anzuwenden und Funktionen wie die externe E-Mail-Aufnahme zu deaktivieren, um Missbrauch zu verhindern.