Sicherheitsforscher von Varonis haben mit Reprompt einen neuen Angriffsvektor auf Microsoft Copilot offengelegt. Die Schwachstelle ermoeglichte es, eine aktive Copilot-Sitzung zu uebernehmen und vertrauliche Nutzerdaten mit einem einzigen Klick auf einen manipulierten Link abzufangen – ohne zusaetzliche Malware und ohne Interaktion ueber den initialen Aufruf hinaus.
Microsoft Copilot als attraktive Angriffsoberflaeche
Copilot ist tief in die Microsoft-Ökosysteme integriert: in Windows, den Browser Edge sowie diverse Office- und Cloud-Dienste. Abhaengig von Konfiguration und Datenschutz-Einstellungen kann Copilot Zugriff auf Chatverlaeufe, E-Mails, Dateien, Kalenderdaten und weitere personenbezogene Informationen haben. Damit entwickelt sich der KI-Assistent zu einer eigenstaendigen Angriffsoberflaeche, insbesondere fuer Prompt-Injection-Angriffe und Session-Hijacking.
Varonis stellte fest, dass Copilot im Web-Interface Eingaben ueber den URL-Parameter q entgegennimmt. Wird in diesem Parameter ein vorbereiteter Prompt hinterlegt, verarbeitet Copilot ihn automatisch beim Laden der Seite – und agiert dabei im Kontext der bereits authentifizierten Benutzersitzung.
Angriffskette Reprompt: Von Phishing-Link zu persistenter Datenabfuehrung
Phishing als Einstiegspunkt
Der Reprompt-Angriff beginnt mit einer Phishing-E-Mail, die einen scheinbar legitimen Link zu Copilot oder einem anderen Microsoft-Dienst enthaelt. Domain und Pfad wirken vertrauenswuerdig; die eigentlichen Angriffsanweisungen verbergen sich im Parameter q der URL, der einen komplexen Prompt fuer Copilot enthaelt.
Nach dem Klick auf den Link erfolgt die Kompromittierung in mehreren Schritten:
1. Copilot verarbeitet den im Parameter q eingebetteten Prompt automatisch, ohne dass der Nutzer etwas eingeben oder bestaetigen muss.
2. Dieser Prompt weist Copilot an, eine Verbindung zu einem Server des Angreifers aufzubauen und dort weitere Anweisungen abzurufen – faktisch ein verdeckter Kanal fuer die Exfiltration sensibler Daten.
3. Reprompt nutzt die bereits aktive, gueltig authentifizierte Microsoft-Sitzung des Opfers. Nach Erkenntnissen von Varonis blieb diese Sitzung selbst dann noch nutzbar, wenn die Copilot-Registerkarte geschlossen wurde, was ein zeitlich begrenztes Fenster fuer weitere Datendiebstaehlungen oeffnete.
Verdeckte Steuerung ueber Angreifer-Server
Eine zentrale Besonderheit von Reprompt: Folgeanweisungen gelangen nicht mehr ueber die URL zum Client, sondern direkt vom Server des Angreifers an Copilot. Aus Sicht lokaler Sicherheitsloesungen oder Web-Proxies ist lediglich der initiale Prompt sichtbar. Welche Befehle Copilot spaeter ausfuehrt und welche Daten in weiteren Requests verarbeitet werden, entzieht sich so weitgehend der Ueberwachung.
Diese Architektur erinnert an klassische Command-and-Control-Infrastrukturen aus dem Malware-Bereich, wird hier jedoch ausschliesslich ueber legitime Microsoft-Funktionen und die KI-Schnittstellen realisiert – ein Grund, warum solche Angriffe in traditionellen Logs nur schwer erkennbar sind.
Umgehung der Copilot-Schutzmechanismen durch „Double Function Calling“
Microsoft hatte Schutzmechanismen integriert, die bei Copilot-Webanfragen die Rueckgabe sensibler Informationen blockieren. Varonis zeigte jedoch, dass Reprompt diese Filter mit einer Technik umgehen kann, die die Forscher als „doppelten Funktionsaufruf“ beschreiben.
Dazu konstruierten sie eine von Copilot erreichbare URL, in der eine geheime Zeichenkette wie „HELLOWORLD1234“ eingebettet war. Im Parameter q wurde Copilot angewiesen, alle Funktionsaufrufe zweimal auszufuehren, die Ergebnisse zu vergleichen und nur das vermeintlich bessere Resultat auszugeben.
Die Beobachtung:
• Beim ersten Aufruf griffen die integrierten Schutzmechanismen, die Rueckgabe der geheimen Zeichenkette wurde blockiert.
• Beim zweiten, durch den Prompt selbst induzierten Aufruf gab Copilot die geheime Zeichenkette vollstaendig preis.
Damit demonstriert Reprompt, dass Sicherheitsfilter von LLM-basierten Systemen durch geschickt verschachtelte Anweisungen umgangen werden koennen. Aehnliche Angriffsmuster wurden bereits in Forschungsarbeiten zu Prompt-Injection beschrieben und gelten als eines der zentralen Risiken generativer KI im Unternehmensumfeld.
Betroffene Copilot-Versionen und Microsofts Reaktion
Nach Angaben von Varonis war ausschliesslich Copilot Personal betroffen, also die Variante fuer private und Einzelanwender. Microsoft 365 Copilot fuer Unternehmen war nicht angreifbar. Im Enterprise-Umfeld greifen zusaetzliche Kontrollen wie Microsoft Purview-Audit-Logs, Data-Loss-Prevention-(DLP)-Richtlinien auf Mandantenebene und strengere administrative Zugriffspolitiken.
Varonis meldete die Schwachstelle am 31. August des Vorjahres an Microsoft. Im Januar 2026 stellte Microsoft ein Sicherheitsupdate bereit, das den Reprompt-Vektor schliesst. Zum Zeitpunkt der Veroeffentlichung des Varonis-Reports lagen keine Hinweise auf eine Ausnutzung der Schwachstelle in freier Wildbahn vor. Dennoch empfiehlt es sich dringend, alle verfuegbaren Updates fuer Windows, Edge und Copilot zeitnah zu installieren.
Lehren aus Reprompt: KI-Assistenten sicher betreiben
Reprompt unterstreicht, dass KI-Assistenten in Betriebssystemen und Cloud-Diensten eine vollwertige Angriffsoberflaeche darstellen. Angesichts der Tatsache, dass laut Verizon Data Breach Investigations Report Phishing seit Jahren zu den haeufigsten Initialvektoren gehoert und der IBM „Cost of a Data Breach Report 2023“ durchschnittliche Schadenskosten von rund 4,45 Millionen US-Dollar pro Vorfall ausweist, koennen solche Schwachstellen erhebliche Auswirkungen haben.
Fuer Privatanwender bedeutet das: Misstrauen gegenueber Links – auch wenn sie „offiziell“ aussehen –, das Deaktivieren nicht benoetigter Berechtigungen, regelmaessige Pruefung der Datenschutz- und Freigabeeinstellungen in der Microsoft-Cloud sowie konsequente Installation von Sicherheitsupdates sind entscheidend.
Unternehmen sollten KI-Assistenten in ihre etablierte Security Governance integrieren. Dazu gehoeren zentral verwaltete DLP-Richtlinien, detailliertes Logging und Audit-Mechanismen, die Nutzung von Zero-Trust-Prinzipien sowie regelmaessige Tests auf Prompt-Injection-Resilienz. Sicherheits-Teams sollten KI-Workloads explizit in Bedrohungsmodellierung, Pentests und Awareness-Trainings aufnehmen.
Reprompt zeigt, dass Angreifer keine eigene Schadsoftware benoetigen, wenn sie legitime KI-Funktionen fuer sich arbeiten lassen koennen. Wer Copilot und andere generative KI-Services sicher nutzen will, sollte Sicherheitsupdates konsequent einspielen, Phishing-Risiken aktiv managen und KI-Assistenten als das behandeln, was sie realistisch sind: leistungsfaehige, aber sicherheitskritische Zugangstore zu Unternehmens- und Personendaten.
