Cybersecurity-Forscher haben eine bahnbrechende Sicherheitslücke in künstlichen Intelligenzsystemen identifiziert, die als EchoLeak bezeichnet wird. Diese kritische Schwachstelle in Microsoft 365 Copilot ermöglichte es Angreifern, vertrauliche Unternehmensdaten zu extrahieren, ohne dass Benutzerinteraktion erforderlich war. Die unter CVE-2025-32711 registrierte Vulnerabilität erhielt eine alarmierende CVSS-Bewertung von 9,3 Punkten.
Revolutionäre Angriffstechnik gegen Large Language Models
Die Sicherheitsexperten von Aim Labs entdeckten im Januar 2025 diese neuartige Bedrohung und klassifizierten EchoLeak als ersten Vertreter der „LLM Scope Violation“-Angriffskategorie. Diese innovative Attackenmethode zielt darauf ab, die Zugriffsbeschränkungen großer Sprachmodelle auf privilegierte Organisationsdaten zu umgehen.
Microsoft 365 Copilot ist tief in geschäftskritische Anwendungen wie Word, Excel, Outlook und Teams integriert. Das System nutzt OpenAI GPT-Modelle in Kombination mit Microsoft Graph zur Analyse interner Dokumente, E-Mails und Unternehmenschats, was potenzielle Datenlecks besonders verheerend macht.
Sophisticated Angriffsmechanismus enthüllt
Der EchoLeak-Angriff demonstriert außergewöhnliche technische Raffinesse. Der Prozess beginnt mit einer scheinbar harmlosen E-Mail, die als gewöhnliches Markdown-Dokument getarnt ist. Das entscheidende Element ist ein versteckter Prompt, der Microsofts XPIA-Schutzmaßnahmen (Cross-Prompt Injection Attack) erfolgreich umgeht.
Wenn Benutzer später Copilot für Arbeitsanfragen verwenden, wird der bösartige Inhalt automatisch über den Retrieval-Augmented Generation (RAG)-Mechanismus in den Kontext des Sprachmodells eingebunden. Dies geschieht aufgrund der scheinbaren Relevanz und korrekten Formatierung des manipulierten Contents.
Datenexfiltration über vertrauenswürdige Kanäle
Für die Übertragung gestohlener Informationen verwenden Angreifer einen besonders raffinierten Ansatz: Sie betten vertrauliche Daten in Bild-URLs im Markdown-Format ein. Bei der automatischen Bildladevorgang sendet der Browser diese URLs an die Server der Angreifer.
Besonders besorgniserregend ist, dass Microsofts Content Security Policy (CSP) zwar die meisten externen Domains blockiert, jedoch URLs von Microsoft Teams und SharePoint als vertrauenswürdig einstuft. Dies schafft einen legitimen Kanal für die Datenexfiltration.
Vollautomatisierte Bedrohung ohne Benutzerbeteiligung
Die kritische Eigenschaft von EchoLeak liegt in der vollständigen Automatisierbarkeit des Angriffs. Da keine aktive Benutzerbeteiligung erforderlich ist, stellt diese Bedrohung eine besondere Gefahr für Unternehmensumgebungen dar, wo solche Attacken über längere Zeiträume unentdeckt bleiben können.
Microsoft reagierte prompt auf die Meldung der Forscher und behob die Schwachstelle serverseitig im Mai 2025. Wichtig ist, dass die Behebung keine Maßnahmen seitens der Benutzer erfordert. Unternehmensvertreter bestätigten, dass keine bekannten Fälle einer Ausnutzung dieser Vulnerabilität in realen Angriffen vorliegen.
Neue Cybersecurity-Herausforderungen im KI-Zeitalter
Die Entdeckung von EchoLeak verdeutlicht ein fundamentales Problem der modernen Cybersicherheit. Die zunehmende Komplexität und tiefe Integration von KI-Systemen in Geschäftsprozesse schaffen neue Angriffsvektoren, die traditionelle Sicherheitsmaßnahmen nicht effektiv abwehren können.
Sicherheitsexperten prognostizieren das Auftreten ähnlicher Schwachstellen, da Cyberkriminelle ihre Methoden an die Eigenarten großer Sprachmodelle anpassen. Dies erfordert eine Neubewertung der KI-Sicherheitsansätze und die Entwicklung spezialisierter Verteidigungsmechanismen für maschinelle Lernsysteme.
Der EchoLeak-Fall unterstreicht die Notwendigkeit proaktiver Sicherheitsstrategien für KI-Systeme. Unternehmen sollten regelmäßige Sicherheitsaudits ihrer integrierten KI-Lösungen durchführen, mehrstufige Überwachungssysteme implementieren und zeitnahe Sicherheitsupdates gewährleisten. Nur ein umfassender Ansatz kann die Risiken der neuen Generation KI-zielgerichteter Bedrohungen minimieren.
