In Microsofts Copilot Enterprise wurde eine Sicherheitslücke respektive eine Angriffskette entdeckt, über die Angreifer möglicherweise heikle Daten abgreifen können. Entdeckt wurde die Lücke von Sicherheitsforschern von
Varonis Threat Labs. Diese
schreiben, dass sich so mit einem Klick unter anderem MFA-Codes, E-Mails und sensible Dateien ergattern lassen. Die Angriffskette mache "Microsoft 365 Copilot Enterprise Search zu einem heimlichen Werkzeug für die Datenexfiltration".
Die Spezialisten haben die Kette SearchLeak getauft. Sie besteht aus einem Parameter-to-Prompt-Injection, einer HTML Rendering Race Condition und einem CSP Bypass via Bing SSRF. Einzeln seien die von den Lücken ausgehende Gefahr zwar überschaubar, zusammen wachsen sie aber zu diesem Einfallstor für Angreifer, die von den Opfern lediglich einen Klick auf einen Link brauchen, um den Angriff zu starten. Weitere Plugins, Berechtigungen oder einen weiteren Klick brauche es nicht.
Nachdem erstmals auf den Link geklickt wurde, beginnt Copilot, das Zielsystem zu durchsuchen und Daten zu extrahieren. Der Link führt dabei zu einer vertraulichen Domain (microsoft.com) und werde daher nicht von Anti-Phishing-Systemen geblockt. Die Möglichkeiten zum Datenklau seien dabei nicht auf einen Client beschränkt, der potenzielle Explosionsradius sei deutlich grösser und reiche bis in die Unternehmensinfrastruktur, abhängig davon, wie tief M365 in die Organisation integriert ist.
Die Lücke wurde mittlerweile von
Microsoft gepatcht, wie die Experten weiter schreiben. Admin sollen trotzdem auf verdächtige Copilot Search URLs achten, CSP Allowlists orüfen und AI Streaming Outputs als nicht vertrauenswürdig behandeln. Für Nutzer gilt wie immer: Sie sollen dringlichst nicht auf unbekannte oder verdächtige Links klicken
(win)
