Microsoft Copilot: Zero-Click-Angriffe umgehen Sicherheit zu 100%

Forscher haben nachgewiesen, dass sogenannte „Zero-Click"-Angriffe auf Microsoft Copilot und die Microsoft 365-Umgebung sensible Unternehmensdaten abgreifen können – ohne dass Nutzer auch nur klicken müssen. Die Angreifer umgehen dabei etablierte Genehmigungsmechanismen. Parallel warnt das FBI vor einer neuen Welle automatisierter Phishing-Plattformen, die speziell auf Microsoft 365-Konten abzielen.

Die Integration von KI-Assistenten wie Copilot in die Unternehmens-IT schafft neue Einfallstore für komplexe Angriffe und stellt Firmen vor enorme rechtliche Herausforderungen. Dieser kostenlose Leitfaden bietet Ihnen einen kompakten Überblick über die Anforderungen und Pflichten der neuen EU-KI-Verordnung. EU AI Act Umsetzungsleitfaden jetzt kostenlos herunterladen

Die „Genehmigungslücke" in Copilot Cowork

Mehrere Sicherheitsberichte haben Ende Mai kritische Schwachstellen in der Architektur von Microsoft Copilot Cowork identifiziert. Besonders brisant: die indirekte Prompt-Injection. Ein Angreifer sendet eine harmlos wirkende E-Mail mit versteckten Anweisungen für die KI. Sobald Copilot die Nachricht verarbeitet, kann es vertrauliche Dateien von OneDrive auslesen und an externe Server senden – kodiert in einer einfachen Bild-URL.

Die Sicherheitsfirma PromptArmor entdeckte zudem eine „Genehmigungslücke" im Arbeitsablauf von Copilot Cowork. Die KI ließ sich dazu bringen, sensible Dateilinks über selbstadressierte Nachrichten in Teams oder Outlook preiszugeben – ohne den von Microsoft vorgeschriebenen Genehmigungsprozess auszulösen. In fünf Tests gelang den Forschern eine 100-prozentige Erfolgsquote beim Umgehen dieser Sicherheitsabfragen.

Das Problem liegt in der Architektur: Copilot erbt die bestehenden Berechtigungen des Microsoft 365-Nutzers und kann wiederkehrende Arbeitsabläufe ausführen. Schon fünf Zeilen Code in einer 81-zeiligen Skill-Datei reichten aus, um das System zu kompromittieren.

Ein weiterer kritischer Punkt ist die Schwachstelle CVE-2025-32711, auch bekannt als EchoLeak-Exploit. Sie erlaubt den Abgriff von Daten über vorab authentifizierte Download-Links, wenn ein Nutzer Copilot bittet, eine schädliche Datei zusammenzufassen. Microsoft hat zwar einen Patch veröffentlicht und betont, dass keine Kunden betroffen seien – doch der Vorfall zeigt das hohe Risiko von KI-Assistenten mit breitem Zugriff auf Unternehmensdaten.

FBI warnt vor automatisierten Phishing-Plattformen

Die Sicherheitslage im Microsoft 365-Ökosystem wird durch neue Phishing-as-a-Service (PaaS)-Plattformen zusätzlich verschärft. Das FBI warnte im Frühjahr vor der Plattform Kali365, die seit April 2026 aktiv ist. Der Dienst spezialisiert sich auf die Kompromittierung von Microsoft 365-Konten durch OAuth-Gerätecode-Phishing – eine Methode, die selbst Multi-Faktor-Authentifizierung (MFA) umgeht.

Kali365 bietet seinen Abonnenten KI-generierte Phishing-Köder und automatisierte Kampagnenvorlagen. Die Kosten liegen zwischen 230 Euro für 30 Tage und 1.850 Euro für ein Jahr. Sicherheitsforscher von Arctic Wolf beobachteten groß angelegte Kampagnen, bei denen Angreifer nach dem Diebstahl eines Sitzungstokens sofort schädliche Postfachregeln einrichteten und neue Geräte registrierten. Branchenexperten betonen: Herkömmliche MFA reicht gegen diese Token-Diebstahl-Techniken nicht mehr aus. Gefordert sind strengere bedingte Zugriffsrichtlinien und eine identitätszentrierte Sicherheitsstrategie.

Da herkömmliche Schutzmaßnahmen gegen moderne KI-gestützte Phishing-Kampagnen oft versagen, benötigen Unternehmen eine proaktive Abwehrstrategie für ihre Belegschaft. Erfahren Sie in diesem kostenlosen Experten-Paket, wie Sie Ihre Mitarbeiter effektiv gegen psychologische Manipulation und CEO-Fraud absichern. Kostenloses Anti-Phishing-Paket für Unternehmen anfordern

Infrastruktur-Risiken und KI-generierte Malware

Die Risiken für das Microsoft-Ökosystem gehen über die Copilot-Oberfläche hinaus. Ein seit Jahren ungepatchter Fehler in der Chromium Background Fetch API – betroffen sind Microsoft Edge, Chrome und Brave – rückte erneut in den Fokus, nachdem Ende Mai versehentlich ein Proof-of-Concept-Code veröffentlicht wurde. Der Exploit könnte Angreifern ermöglichen, dauerhafte browserbasierte Botnetze zu erstellen. Bei Microsoft Edge lässt sich der Angriff ausführen, ohne dass der Nutzer etwas bemerkt.

Die Rolle von KI bei der Erstellung von Malware wird zudem immer konkreter. Mitte Mai bestätigte GitHub einen Einbruch in seine internen Repositories, verursacht durch eine manipulierte Erweiterung in Visual Studio Code. Die Angreifer von TeamPCP gaben an, das KI-Modell Claude genutzt zu haben, um einen Wurm namens „Mini Shai-Hulud" zu entwickeln. Die Malware kompromittierte hunderte npm-Paketversionen.

Das Ausmaß potenzieller Schwachstellen zeigt auch Anthropics „Project Glasswing". Mit einer Vorschauversion seines Claude Mythos-Modells scannte das Unternehmen über 1.000 Open-Source-Projekte und identifizierte mehr als 10.000 potenzielle Sicherheitslücken. Nach manueller Überprüfung einer Stichprobe bestätigten Forscher über 90 Prozent als echte Treffer – die meisten davon mit hohem oder kritischem Schweregrad. Die schiere Menge an Funden überfordert die Kapazitäten der Branche, Patches zu entwickeln und auszurollen.

Verteidigungsstrategien für Unternehmen

Trotz der wachsenden Liste von Schwachstellen setzt Microsoft weiterhin auf KI zur Verbesserung der Abwehr. Das Unternehmen aktualisierte kürzlich Microsoft Defender XDR, sodass Security Copilot automatisch Sicherheitsvorfälle mit bis zu 100 Warnmeldungen zusammenfassen kann. Die Zusammenfassungen liefern Sicherheitsteams Angriffszeitpläne, beteiligte Ressourcen und Kompromittierungsindikatoren – mit dem Ziel, die Reaktionszeiten zu verkürzen.

Doch Sicherheitsexperten sind sich einig: Die schnelle Einführung von KI erfordert ein grundlegendes Umdenken in der Unternehmenssicherheit. Empfohlen werden unter anderem:

• Kennzeichnung externer Inhalte: Alle Inhalte von außerhalb der Organisation sollten vom KI-Modell als nicht vertrauenswürdig behandelt werden.
• Ausgabebereinigung: Unternehmen sollten Datenabflüsse filtern, um zu verhindern, dass die KI Daten über nicht autorisierte Kanäle sendet.
• Prinzip der minimalen Rechte: KI-Modelle und ihre Werkzeuge sollten nur den minimal notwendigen Zugriff erhalten.
• Umfassende Protokollierung: Jeder Aufruf eines KI-Tools sollte protokolliert und überwacht werden.

Der Fokus verschiebt sich hin zu „Defense-in-Depth"-Strategien. Dazu gehört das Blockieren unnötiger Gerätecode-Flüsse und die Überwachung auf verdächtige Token-Nutzung. Klar ist: Die Integration von KI in die Kernumgebung von Unternehmensdaten hat eine neue, komplexe Angriffsfläche geschaffen, die traditionelle Sicherheitsmaßnahmen derzeit kaum kontrollieren können.

de | wissenschaft | 69422569 |