Microsoft behebt gravierende M365-Copilot-Schwachstelle
Es sind Details über eine inzwischen behobene Sicherheitslücke in Microsoft 365 Copilot bekannt geworden, die es ermöglichen könnte, sensible Benutzerinformationen zu stehlen. Dabei wurde eine Technik namens ASCII-Smuggling verwendet. Diese Methode erlaubt es Angreifern, schädliche Daten in harmlos wirkenden Zeichenfolgen zu verstecken, um Sicherheitskontrollen zu umgehen und an vertrauliche Daten zu gelangen.
„ASCII Smuggling ist eine neuartige Technik, die spezielle Unicode-Zeichen verwendet, die wie ASCII-Zeichen aussehen, aber in der Benutzeroberfläche nicht sichtbar sind,“ erklärt der Sicherheitsforscher Johann Rehberger. „Das bedeutet, dass ein Angreifer etwa einem großen Sprachmodell unsichtbare Daten anzeigen und diese in anklickbare Hyperlinks einbetten kann. Diese Technik bereitet die Daten im Grunde für die spätere Exfiltration vor!“
Der gesamte Angriff besteht aus mehreren Schritten, die zu einer hoch wirksamen Angriffskette verbunden werden. Dazu gehören:
- Auslösen einer Prompt Injection (eine Manipulation des Chatbots durch gezielte Eingaben) durch bösartigen Inhalt, der in einem Dokument versteckt ist, das im Chat geteilt wird, um die Kontrolle über den Chatbot zu übernehmen.
- Verwendung einer Prompt Injection-Nutzlast, um Copilot anzuweisen, nach weiteren E-Mails und Dokumenten zu suchen, eine Technik, die als Automatic Tool Invocation (automatischer Tool-Aufruf) bezeichnet wird.
- Nutzung von ASCII-Smuggling, um den Benutzer dazu zu verleiten, auf einen Link zu klicken, wodurch wertvolle Daten an einen externen Server exfiltriert werden.
Das Endergebnis des Angriffs ist, dass sensible Daten, die in E-Mails enthalten sind, einschließlich Multi-Faktor-Authentifizierungs-Codes (MFA), an einen Server, der von Angreifern kontrolliert wird, übertragen werden könnten. Microsoft hat die Probleme nach verantwortungsvoller Offenlegung im Januar 2024 behoben.
Die Entwicklung folgt der Demonstration von Proof-of-Concept-Angriffen (PoC) gegen Microsofts Copilot-System, um Antworten zu manipulieren, private Daten zu exfiltrieren und Sicherheitsvorkehrungen zu umgehen. Dies unterstreicht erneut die Notwendigkeit, Risiken in KI-Tools zu überwachen.
Die von Zenity beschriebenen Methoden ermöglichen es böswilligen Akteuren, sogenannte Retrieval-Augmented Generation (RAG) Poisoning und indirekte Prompt Injection durchzuführen, was zu Remote-Code-Ausführungsangriffen führen kann, die Microsoft Copilot und andere KI-Anwendungen vollständig kontrollieren können. In einem hypothetischen Angriffsszenario könnte ein externer Hacker mit Code-Ausführungsfähigkeiten Copilot dazu bringen, den Nutzern Phishing-Seiten bereitzustellen.
Eine der neuartigsten Angriffsformen besteht darin, die KI in eine gezielte Phishing-Maschine zu verwandeln. Diese Red-Teaming-Technik, genannt LOLCopilot, erlaubt es einem Angreifer, der Zugang zum E-Mail-Konto eines Opfers hat, Phishing-Nachrichten im Stil des kompromittierten Benutzers zu versenden.
Microsoft hat außerdem eingeräumt, dass öffentlich zugängliche Copilot-Bots, die mit Microsoft Copilot Studio erstellt wurden und keine Authentifizierungsschutzmechanismen aufweisen, eine Möglichkeit für Bedrohungsakteure darstellen könnten, sensible Informationen zu extrahieren, sofern sie den Namen oder die URL des Copilot kennen.
Johann Rehberger rät Unternehmen dazu, ihre Risikobereitschaft und ihre potenzielle Gefährdung durch Copilot-Anwendungen (früher bekannt als Power Virtual Agents) sorgfältig zu bewerten. Dies bedeutet, dass Unternehmen genau prüfen sollten, wie hoch das Risiko ist, dass vertrauliche Daten durch die Nutzung von Copilot-Anwendungen an Unbefugte gelangen könnten.
Ein wichtiger Schritt dabei ist es, Maßnahmen zur Verhinderung von Datenverlusten (Data Loss Prevention, DLP) zu aktivieren. Diese Sicherheitsmaßnahmen sorgen dafür, dass sensible Informationen innerhalb des Unternehmens geschützt bleiben und nicht unabsichtlich oder absichtlich nach außen gelangen. Unternehmen sollten also sicherstellen, dass ihre Copilot-Anwendungen durch solche Schutzmechanismen abgesichert sind.
Darüber hinaus empfiehlt Rehberger, dass Unternehmen auch andere Sicherheitskontrollen implementieren, um die Erstellung und Veröffentlichung von Copilots besser zu steuern. Dies könnte zum Beispiel bedeuten, dass nur autorisierte Mitarbeiter Zugriff auf die Erstellung neuer Copilot-Anwendungen haben und dass die veröffentlichten Anwendungen regelmäßig überprüft werden, um sicherzustellen, dass sie keine Sicherheitslücken aufweisen.