Microsoft 365 Copilot: Wenn der KI-Assistent zum Insider-Risiko wird
Eine behobene Schwachstelle in Copilot Enterprise Search verdeutlicht, warum Berechtigungen, Prompt-Schutz und Monitoring neu gedacht werden müssen.
Forscher des Sicherheitsunternehmens Varonis haben einen Proof-of-Concept-Angriff auf Microsoft 365 demonstriert, bei dem Copilot Enterprise Search als ungewollter Insider genutzt werden konnte, um potenziell sensible Informationen aus E-Mails, Kalendern, OneDrive und SharePoint abzugreifen. Die als CVE-2026-42824 geführte Schwachstelle wurde nach Angaben von Varonis vor der öffentlichen Veröffentlichung durch Microsoft serverseitig behoben.
Die von Varonis als „SearchLeak“ bezeichnete Angriffskette verknüpft drei unterschiedliche Fehlerklassen. Brisant ist nicht allein eine einzelne Schwachstelle, sondern ihre Kombination: Die Kette konnte durch einen einzigen Klick auf einen legitim wirkenden Microsoft-Link ausgelöst werden. Weder eine Umgehung der Authentifizierung noch eine Rechteausweitung, Malware oder ein zweiter Bestätigungsschritt waren dafür erforderlich.
Exfiltration über vertrauenswürdige Dienste
Die Ursache des Problems liegt in der Art und Weise, wie Copilot Enterprise Search Eingaben aus URLs verarbeitet. Der Suchparameter konnte nicht nur als Suchbegriff, sondern als ausführbare Anweisung interpretiert werden. Weil Copilot Enterprise Search auf Inhalte zugreift, die dem angemeldeten Nutzer in Microsoft 365 ohnehin offenstehen, konnte der Dienst dazu gebracht werden, relevante Daten aus dem Postfach, Kalender sowie aus indizierten Unternehmensinhalten zurückzugeben.
Die „Parameter-to-Prompt“-Injektion ist ein bekanntes Risiko bei KI-Systemen, die Nutzereingaben, externe Inhalte und Systemanweisungen zusammenführen. Microsoft setzt Schutzmechanismen ein, um solche Ausgaben zu bereinigen. Durch das Auslösen einer HTML-Race-Condition – dem zweiten Glied der Kette – gelang es den Forschern jedoch, Copilot dazu zu bringen, auf die präparierte Eingabe zu reagieren, bevor die Bereinigung griff. Dadurch konnten die Ergebnisse der bösartigen Anweisung in Bild-Referenzen eingebettet werden.
Das dritte Glied in der Kette, Server-Side Request Forgery (SSRF), nutzte die Vertrauensstellung aus, die Bing-Diensten im Rahmen der Content Security Policy eingeräumt war. Bing rief das vermeintliche Bild serverseitig ab; tatsächlich enthielt die Bildadresse die von Copilot ausgegebenen Daten. Der Abruf erfolgte über einen vom Angreifer kontrollierten Server, der damit als Exfiltrationsziel diente.
„Das Ergebnis: Ein Opfer in einem Copilot-Enterprise-Mandanten klickt auf einen Link → Copilot durchsucht dessen Postfach, Kalender und indizierte Unternehmensinhalte → die Daten landen auf dem Server des Angreifers“, erklären die Forscher von Varonis in einem Blogbeitrag.
„Keine Plugins, keine besonderen Berechtigungen, kein zweiter Klick. Der Link führt zu einer vertrauenswürdigen Domain (microsoft.com), sodass herkömmliche Anti-Phishing- und URL-Schutz-Tools ihn nicht blockieren oder filtern.“
Ein Klick genügt für den Angriff
Induzierte HTML-Race-Conditions und SSRF sind bekannte Schwachstellenklassen. Neu ist der KI-spezifische Verbindungspunkt: Die Parameter-to-Prompt-Injection (P2P) macht es möglich, klassische Webfehler mit den weitreichenden Zugriffsrechten eines KI-Assistenten zu kombinieren. Genau darin liegt die sicherheitspolitische Relevanz für Unternehmen, die Copilots tief in Mail-, Datei- und Kollaborationssysteme integrieren.
Diese Einschätzung deckt sich mit weiteren Sicherheitsanalysen zu Copilot-Szenarien, etwa mit denen von Inbar Raz und Michael Bargury („Your Copilot is my Insider“ oder „Living off Microsoft Copilot“). Die Zenity-Gründer beschreiben regelmäßig, wie Copilot- und Copilot-Studio-Implementierungen durch übermäßige Berechtigungen, unsichere Standardkonfigurationen, Plug-ins und indirekte Prompt-Injection zu Datenabfluss führen können – teils unter Umgehung klassischer DLP-Kontrollen.
„Das ist der KI-native Teil. Es ist die neue Angriffsfläche, die klassische Fehler auf eine Weise ausnutzbar macht, wie es sonst nicht möglich wäre”, sagen auch die Varonis-Forscher. “Ohne P2P kannst du kein vom Angreifer kontrolliertes HTML in die Antwort einbringen. Ohne die Race Condition wird das HTML neutralisiert. Ohne das SSRF blockiert die CSP [Content Security Policy] die Exfiltration. Jedes Glied in der Kette ist notwendig, und die KI-Komponente ist das, was sie miteinander verbindet.“
Was Sicherheitsteams jetzt beachten sollten
Microsoft hat die Schwachstelle serverseitig behoben; für Nutzer und Administratoren war nach den vorliegenden Berichten keine Client-Aktualisierung erforderlich. Sicherheitsteams sollten den Fall dennoch nicht als erledigte Einzelfrage behandeln. Microsoft selbst verweist bei indirekter Prompt-Injection auf einen Defense-in-Depth-Ansatz, der unter anderem Prompt Shields, Spotlighting, Tool-Chain-Analysen, Least-Privilege-Prinzipien, kurzlebige Berechtigungen, menschliche Bestätigung bei riskanten Aktionen sowie kontinuierliches Monitoring umfasst.
Für Unternehmen heißt das: Verdächtige Copilot-Search-URLs, lange Microsoft-365-Links mit komplexen oder verschlüsselten Parametern, ungewöhnliche Bildabrufe über erlaubte Microsoft- oder Bing-Domains sowie abrupte Such- und Zugriffsmuster sollten in die Erkennungslogik einfließen. Ebenso wichtig sind saubere Datenklassifizierung, restriktive Freigaben in SharePoint und OneDrive, regelmäßige Berechtigungsrezertifizierungen und klare Richtlinien für Copilot Studio, Plug-ins und Konnektoren. Denn Copilot kann nur auf Daten zugreifen, die dem Nutzer oder dem Agenten bereits offenstehen – genau diese Reichweite entscheidet im Ernstfall über den möglichen Schaden.
CIO-Fazit
Für CIOs ist SearchLeak weniger ein isolierter Copilot-Bug als ein Hinweis auf eine grundsätzliche Verschiebung der Angriffsfläche. KI-Assistenten wirken in Microsoft 365 als Schnittstelle zwischen Identitäten, Berechtigungen, Unternehmenssuche und sensiblen Datenbeständen. Damit werden Fehlkonfigurationen, zu breite Zugriffsrechte und unkontrollierte Konnektoren zu strategischen Risiken. Wer Copilot produktiv einsetzt, sollte deshalb nicht nur auf Hersteller-Patches vertrauen, sondern Datenklassifizierung, Least-Privilege-Modelle, kontinuierliche Berechtigungsprüfungen und KI-spezifisches Monitoring als Governance-Pflicht behandeln.
--
Dieser Artikel basiert auf einem Beitrag unserer Schwester-Website Computing.