Kritische Sicherheitslücke in Microsoft 365 Copilot zeigt Risiko von KI-Agenten

Nutzer von Microsoft 365 Copilot waren über Monate von einer kritischen Sicherheitslücke bedroht. Der KI-Assistent für Firmensoftware konnte dazu gebracht werden, sensible und andere Informationen preiszugeben. Dafür war lediglich eine E-Mail mit geschickt formulierten Anweisungen notwendig, es erforderte keinen menschlichen Mausklick. Denn die Künstliche Intelligenz (KI) hat die E-Mail selbstständig gelesen und verarbeitet. Microsoft hat dieses Problem aber bereits behoben.

M365 Copilot ist der KI-Assistent für die Microsoft 365-Anwendungen wie die Office-Produkte Word, Excel, Powerpoint, Outlook und Teams. Durch die Integration in das Netzwerk des Unternehmens hat der auf dem großen Sprachmodell GPT-4 von OpenAI basierende KI-Agent Zugriff auch auf teilweise sensible Firmendaten. Das können sich Angreifer zunutze machen, da die KI selbstständig agiert und etwa E-Mails an Mitarbeiter liest und verarbeitet. Im Gegensatz zu den bekannten Phishing-Mails ist hier kein Mausklick nötig.

Dieses Vorgehen haben die Sicherheitsforscher von Aim Security aufgedeckt. Doch selbst ohne menschliches Zutun erfordert das Ausnutzen dieser Sicherheitslücke besondere Formulierungen innerhalb der E-Mail, einschließlich speziell ausgeprägter Links. Auch sollten die Anweisungen für den KI-Agenten nicht zu offensichtlich für den menschlichen Leser sein, damit der Angriff nicht schnell nachvollzogen werden kann. Zwar sieht das Copilot-Zugriffssystem vor, dass jeder Mitarbeiter nur Zugriff auf seine eigenen Daten hat, aber auch diese könnten sensible Inhalte umfassen.

Microsofts langwierige Lückenschließung

Microsoft führt diese von Aim Security „EchoLeak“ genannte Sicherheitslücke als CVE-2025-32711 und beschreibt sie als „kritisch“. Allerdings ist sie laut Konzern bislang nicht ausgenutzt worden und wurde jetzt geschlossen. Nutzer von M365 Copilot müssen nichts weiter unternehmen. Die Veröffentlichung als Security-Update dient demnach lediglich der Transparenz. Ein Microsoft-Sprecher sagte gegenüber Fortune die Implementierung „zusätzlicher tiefgreifender Verteidigungsmaßnahmen“ zu, um „die Sicherheit weiter zu stärken“.

Die Sicherheitsforscher haben die Lücke bereits im Januar dieses Jahres entdeckt und Microsoft gemeldet. Der Softwarekonzern hat allerdings rund fünf Monate gebraucht, um das Problem zu beheben. Adir Gruss, Mitgründer und Technikvorstand von Aim Security, bezeichnete die Reaktionszeit Microsofts gegenüber Fortune als „auf der (sehr) hohen Seite“. Das dürfte daran gelegen haben, dass es sich um eine neuartige Sicherheitslücke handelt und es Zeit gebraucht hat, um die korrekten Teams und Mitarbeiter für die Gegenmaßnahmen zu finden und zu instruieren.

Grundlegendes Problem von KI-Agenten

Laut Gruss dürfte EchoLeak auch andere KI-Agenten betreffen, etwa Anthropics MCP (Model Context Protocol), das KI-Assistenten mit anderen Applikationen verknüpft, oder Agentforce von Salesforce. Auch diese Sprachmodelle könnten ähnlich manipuliert werden, um Angreifern Firmendaten zu liefern. Als Unternehmen, die jetzt KI-Agenten in ihre Systeme integrieren, wäre Gruss „beängstigt“. Es handelt sich seiner Ansicht nach um ein grundlegendes Problem, vergleichbar mit den Software-Sicherheitslücken der 90er-Jahre, als Angreifer die Kontrolle über Laptops oder Handys zu erlangen versuchten.

Gruss verlangt deshalb, dass KI-Agenten komplett anders aufgebaut werden sollten. „Die Tatsache, dass Agenten vertrauenswürdige und nicht vertrauenswürdige Daten im selben ‚Denkprozess‘ verwenden, ist der grundlegende Designfehler, der sie anfällig macht“, sagte er. „Stellen Sie sich eine Person vor, die alles tut, was sie liest – sie wäre einfach zu manipulieren.“ KI-Agenten und Prozesse sollten mit einer klaren Trennung von vertrauenswürdigen Befehlen und nicht vertrauenswürdigen Daten entwickelt werden.

(fds)