Elementrica
03Fallstudien04Referenzen05Unternehmen06Aktuelles07Kontakt
PLENDE

Ein Link genügte, damit Ihr Copilot für jemand anderen arbeitete

ElementricaElementrica6 Min.
Ein Link genügte, damit Ihr Copilot für jemand anderen arbeitete

Stellen Sie sich die Szene vor. In Teams landet ein Link. Die Adresse beginnt mit microsoft.com, also lässt Ihr Phishing-Filter sie ohne zu zögern durch. Sie klicken. Microsoft 365 Copilot öffnet sich, flackert eine Sekunde, als würde er über etwas nachdenken. Sie arbeiten weiter.

Im selben Moment durchsuchte Copilot Ihr Postfach, Ihren Kalender, SharePoint und OneDrive, zog die Betreffzeile der E-Mail mit Ihrem MFA-Code heraus und schickte sie an den Server von jemandem, den Sie nie kennenlernen werden. Ein Klick. Keine Plug-ins, keine zusätzlichen Berechtigungen, kein zweiter Klick.

Das ist kein Vortragsszenario über die Bedrohungen von morgen. Das ist SearchLeak, eine echte Schwachstellenkette, die Forscher von Varonis Threat Labs in Microsoft 365 Copilot Enterprise gefunden haben. Microsoft hat sie bereits behoben (CVE-2026-42824). NIST bewertet sie mit 7.5 auf der CVSS-Skala, also hoch. Microsoft selbst stuft sie mit 6.5 niedriger ein. Kritisch ist keiner der Werte, aber die Geschichte ist zu gut, um sie zu verschweigen, denn sie zeigt genau, wo das eigentliche Problem mit KI im Unternehmen liegt.

Drei Glieder, und zwei davon stammen aus dem letzten Jahrzehnt

Hier wird es interessant. Die meisten hören „eine Schwachstelle in der KI“ und stellen sich einen neuen, magischen Angriff vor. SearchLeak besteht größtenteils aus alten, seit Jahren bekannten Fehlern, die die KI erst jetzt wieder zum Leben erweckt hat.

Die Kette hat drei Glieder:

  • Parameter-to-Prompt Injection (P2P). Copilot Enterprise Search liest den Parameter q aus der URL. Gedacht war er als einfacher Suchtext. Nur behandelt Copilot dessen Inhalt nicht als Suchbegriff, sondern als auszuführenden Befehl. Also: Was Sie in den Link schreiben, führt Copilot einfach aus.
  • Eine Race Condition beim HTML-Rendering. Microsoft weiß, dass die KI-Antwort gefährlichen Code enthalten kann, und verpackt sie deshalb in einen <code>-Block, damit der Browser sie als Text behandelt. Der Haken: Diese Verpackung kommt erst, nachdem Copilot mit dem „Denken“ fertig ist. Während die Antwort noch gestreamt wird, schafft es das <img>-Tag, sich zu rendern und eine HTTP-Anfrage abzufeuern, bevor der Sanitizer überhaupt aufwacht.
  • SSRF über Bing. Die Content Security Policy (CSP) der Seite lässt keine Bilder von attacker.com laden. Aber *.bing.com steht auf der Whitelist, es ist ja Microsoft. Und Bing hat eine Funktion „Bildersuche“, die eine angegebene URL serverseitig abruft. Also weist man den Browser einfach an, Bing zu fragen, und Bing spaziert brav zum Server des Angreifers und trägt die gestohlenen Daten, in die Adresse eingebettet, gleich mit hinaus.

SSRF hat über ein Jahrzehnt auf dem Buckel. Race Conditions in Sanitizern sind ein Klassiker, beschrieben in Hunderten von Vorträgen. Jedes dieser Glieder lässt sich einzeln beheben. Erst zusammengeklebt, und zwar genau durch dieses Stück KI, geben sie jemandem die Möglichkeit, still E-Mails, Sicherheitscodes und Firmendateien mitzunehmen.

Wo hier der Witz steckt und wo der feine Unterschied

Der unlustigste Moment der ganzen Geschichte: Microsoft hat eine Schutzmaßnahme gebaut. Wirklich. Es verpackt die Antwort in <code>, damit der Code nicht ausgeführt wird. Nur wartet der Browser nicht auf die finale Fassung, er rendert laufend. Also fliegt das Bild hinaus, die Daten sind längst beim Angreifer, und eine Sekunde später trifft die schöne, fürsorgliche Schutzverpackung ein. Um ein Bild, das es nicht mehr gibt. Die Schutzmaßnahme hat mustergültig funktioniert. Nur an einer leeren Stelle...

Und hier beginnt der feine Unterschied, denn daraus lässt sich leicht billige Angst vor KI machen. Copilot kann großartig sein. Er kürzt Stunden des Wühlens in E-Mails auf einen einzigen Satz. Er beschleunigt die Arbeit wirklich. Zugleich arbeitet genau dieser Copilot mit den vollen Berechtigungen des Nutzers und sieht genau das, was Sie sehen: Ihr Postfach, Ihren Kalender, Ihre Dokumente, die Übernahmepläne, die Gehaltsliste. Wo verläuft also die Grenze zwischen einem Werkzeug, das Ihnen Zeit spart, und einem Werkzeug, das auch dem Angreifer Zeit spart?

Die Grenze steckt in einem Satz, den Sie sich über den Schreibtisch hängen sollten: KI schafft keine neuen Daten, nur neue Wege zu den Daten, die Sie schon haben. Der Blast Radius ist nicht die Kreativität des Modells. Es sind Ihre Berechtigungen in Microsoft 365, die sich jemand mit einem einzigen Link geschnappt hat.

Was Sie wirklich dagegen tun können

Denn eine Aufzählung von Bedrohungen ohne Rezept ist keine Analyse, sondern Angstmacherei um ihrer selbst willen. Microsoft hat dieses konkrete Loch behoben, aber die Logik des Angriffs bleibt, und die nächsten Ketten dieser Art entstehen gerade erst. Das praktische Minimum:

Wenn Sie für die Sicherheit verantwortlich sind:

  • Achten Sie auf verdächtige URLs, die zu Copilot führen. Lange, kodierte q-Parameter mit HTML-Tags darin oder Anweisungen im Stil von „setze das in eine Bildadresse ein“ sind ein Warnsignal.
  • Prüfen Sie die Whitelists in Ihrer CSP. Jede erlaubte Domain, die vom Nutzer angegebene Adressen auf ihrem eigenen Server abruft, ist ein fertiger Abflusskanal. Bing war nur eine von vielen Möglichkeiten.
  • Behandeln Sie eine gestreamte KI-Antwort als nicht vertrauenswürdig. Die Bereinigung muss zum Zeitpunkt des Renderings greifen, nicht als Aufräumen im Nachhinein. Genau in dieser Lücke entsteht die Race Condition.

Wenn Sie Copilot einfach nutzen:

  • Werfen Sie einen Blick auf den Link, bevor Sie klicken. Besonders dann, wenn er zu Microsoft-365-Diensten führt und einen Kilometer kodierter Zeichen hinter sich herzieht.
  • Melden Sie merkwürdiges Verhalten. Wenn Copilot von sich aus Ihr Postfach durchsucht, obwohl Sie nie darum gebeten haben, ist das keine Funktion. Es ist ein Symptom.

Und wenn Sie wissen wollen, wo in Ihrer Organisation die KI einen breiteren Zugriff bekommen hat, als ihn jemand bewusst genehmigt hat, sind genau dafür Tests und Berechtigungsprüfungen da. Besser, Sie erfahren es von jemandem auf Ihrer Seite, in Ruhe, in einem Bericht, als aus einer Meldung über eine Datenpanne.

Die Lehre ist banal und gerade deshalb wahr: Wir binden KI schneller in alles ein, als irgendjemand prüfen kann, was sie wirklich sieht und wem sie es zeigen kann. Neue Technik, dieselbe alte Tür, die offen steht. Bevor Sie den nächsten Assistenten mit vollen Berechtigungen anschließen, prüfen Sie, worauf er tatsächlich Zugriff bekommt.

Sehen Sie, worauf Ihr Copilot wirklich Zugriff hat

Vereinbaren Sie eine kostenlose Beratung, und wir planen die Tests und die Berechtigungsprüfung, die zeigen, wo die KI in Ihrer Organisation mehr sieht, als jemand bewusst genehmigt hat.

Vorheriger
Der Umfang eines Penetrationstests: die eine Seite, die entscheidet, ob der Test sein Geld wert war
Nächster
Windows LPE: MiniPlasma und die Rückkehr der (nicht) behobenen Lücke CVE-2020-17103