Gefährliche Angriffe: Ein Klick und M365-Copilot Enterprise wird zum Da­ten­dieb

Forscher des Datensicherheitsunternehmens Varonis haben eine kritische Angriffskette entdeckt, mit der sich Microsoft 365 Copilot Enterprise zum Diebstahl vertraulicher Unternehmensdaten missbrauchen lässt. Betroffen sind Inhalte aus E-Mails, OneDrive und SharePoint. Für einen erfolgreichen Angriff genügt ein Klick.

Ein Klick für alles

Die als „SearchLeak“ bezeichnete Angriffskette nutzt eine mit der Kennung CVE-2026-42824 versehene Schwachstelle aus, die im Kern aus drei voneinander unabhängigen Sicherheitslücken besteht. Für sich genommen sollen die einzelnen Schwachstellen vergleichsweise begrenzte Auswirkungen haben, ihre Kombination macht jedoch die eigentliche Gefahr aus. Die Forscher sprechen deshalb von einer „Exploit Chain“, bei der mehrere Fehler gezielt ineinandergreifen.

Ein diebischer Dreiteiler

Im ersten Schritt setzt der Angreifer auf eine sogenannte „Parameter-to-Prompt-Injection“, bei der der Parameter „q“ in Microsoft 365 Copilot Enterprise Search missbraucht wird. Anders als der klassische Copilot erzeugt Copilot Enterprise Search keine Inhalte aus dem Nichts, sondern durchsucht Unternehmensdatenquellen wie Outlook-Postfächer, Kalender, SharePoint-Bibliotheken oder OneDrive-Speicher. Die entsprechende Anweisung lässt sich problemlos in einem präparierten Link unterbringen. Darüber hinaus kann gezielt nach bestimmten Inhalten gesucht werden, ohne dass weitere Interaktionen des Opfers erforderlich sind.

Der zweite Teil des Angriffs nutzt eine Race Condition bei der HTML-Darstellung aus. Während Copilot die Suchantwort an den Browser übermittelt, wird deren Inhalt kurzzeitig als rohes HTML dargestellt. Erst anschließend erfolgt die Umwandlung in einen sicheren, neutralisierten Code-Block. Dieses kurze Zeitfenster reicht offenbar aus, um schädliche HTML-Elemente wie etwa den Bild-Tag auszuführen. Im letzten Schritt kommt eine Server-Side Request Forgery (SSRF) in Bings Funktion „Search by Image“ zum Einsatz. Eigentlich sollen Content-Security-Policy-Regeln (CSP) verhindern, dass Websites beliebige externe Inhalte laden. Da die Bildanfrage jedoch über Microsofts Bing-Dienste abgewickelt wurde, stufte das System diese als vertrauenswürdig ein.

Auf diesem Weg kann Copilot die abgegriffenen Daten abschließend in eine Bild-URL einbetten, die anschließend über Bing vom Server des Angreifers abgerufen wird. Die darin enthaltenen Informationen werden dabei direkt übertragen. Anschließend genügt die Auswertung der Server-Protokolle, um an die Daten zu gelangen. Der gesamte Vorgang bleibt zudem zu jedem Zeitpunkt vollständig vor dem Opfer verborgen, das von dem Datendiebstahl nichts bemerkt – ein Umstand, der den Angriff besonders gefährlich macht.

Bekannte Schwachstellen bei KI besonders gefährlich

Der Vorfall zeigt erneut, wie anfällig KI-Systeme trotz gegenteiliger Verlautbarungen vieler Unternehmen weiterhin sind und dass ihr eigenständiger Zugriff auf sensible Daten sorgfältig abgewogen werden sollte. Gleichzeitig verdeutlicht der Angriff, dass auch KI-gestützte Anwendungen weiterhin mit klassischen Sicherheitsproblemen zu kämpfen haben.