Bericht: Microsoft Copilot Cowork lässt sich dazu bringen, sensible Dateien zu exfiltrieren
Microsoft Copilot Cowork ist dem Risiko der Datei-Exfiltration ausgesetzt
Ein neuer Bericht besagt, dass Microsoft Copilot Cowork durch indirekte Prompt-Injektion dazu manipuliert werden kann, sensible Dateien aus Microsoft 365 zu exfiltrieren und Unternehmen damit einem erheblichen Sicherheitsrisiko auszusetzen.
Die Erkenntnis konzentriert sich auf unsichere automatische Aktionsfreigaben für das Senden von E-Mails und Teams-Nachrichten. Dem Bericht zufolge kann Copilot Cowork durch eine vergiftete Skill-Datei mit Prompt-Injektionsanweisungen gesteuert werden, wodurch ein Angreifer Daten aus dem Microsoft-Tenant des Opfers mit den eigenen Berechtigungen des Agents und dem Zugriff auf Microsoft Graph exfiltrieren kann.
Copilot Cowork ist eine Frontier-Funktion in Microsoft 365, die mit den Microsoft-Berechtigungen eines Benutzers arbeitet und Daten im gesamten Tenant lesen und darauf reagieren kann. Die Forscher geben an, dass der Angriff selbst gegen moderne Modelle, darunter Claude Opus 4.7, mit hoher Erfolgsrate funktionierte.
Wie der Angriff funktioniert
Die Dokumentation von Microsoft besagt, dass Copilot Cowork vor sensiblen Aktionen wie dem Versenden von E-Mails oder dem Posten in Teams um Erlaubnis fragt. Der Bericht stellt jedoch fest, dass Nachrichten, die an den aktiven Benutzer gesendet werden, in der Praxis sofort ausgeführt werden, ohne dass eine menschliche Genehmigung erforderlich ist. Benutzer können dieses Verhalten zudem nicht ändern.
Das schafft einen Pfad zur Exfiltration: Eine kompromittierte Nachricht kann externe Bilder oder andere Inhalte enthalten, die beim Öffnen in Outlook oder Teams Netzwerkaufrufe auslösen und so an Angreifer kontrollierte Anfragen auslösen. Der Bericht besagt außerdem, dass Copilot Cowork vorab authentifizierte Download-Links für Dateien abrufen kann, auf die der Benutzer zugreifen darf — und diese Links von jedem Empfänger zum Herunterladen der Datei genutzt werden können.
Szenario des Opfers im Bericht: Ein Benutzer hat Zugriff auf SharePoint- oder OneDrive-Dateien, die personenbezogene Daten (PII) und Finanzdaten enthalten, und lädt dann eine Skill-Datei in Copilot Cowork hoch, die die injizierte Anweisung trägt.
Breitere Unternehmensgefährdung
Schützen Sie Ihre Privatsphäre mit Doppler VPN
3 Tage kostenlos testen. Ohne Registrierung. Ohne Protokolle.
Die Forscher sagen, dass das Problem nicht auf eine einzige Injektionsquelle beschränkt ist. Ähnliche Angriffe könnten aus Webdaten in Tools wie Claude for Chrome oder von verbundenen MCP-Servern stammen. Sie argumentieren, dass das Risiko ein größeres Problem widerspiegelt: Agents Zugriff auf mehrere Systeme zu geben, vergrößert die Angriffsfläche für Prompt-Injektionen, selbst wenn jede einzelne Funktion isoliert betrachtet harmlos erscheint.
Getrennt vom Exfiltrationspfad über Nachrichten sagen die Forscher, dass sie Microsoft auch eine Schwachstelle gemeldet haben, die direkt einen Datenabfluss aus der Sandbox-Umgebung von Copilot Cowork ermöglicht.
Quellen:
Privat surfen mit Doppler VPN — keine Protokolle, Verbindung mit einem Fingertipp.