Microsoft Copilot: Reprompt-Lücke ermöglicht Datendiebstahl
Microsoft schützt seinen KI-Assistenten Copilot gegen den Abfluss sensibler Daten. Sicherheitsforscher manipulierten URL-Parameter und konnten so persönliche Nutzerdaten auslesen - selbst nach Schließen des Chat-Fensters.
Sicherheitsforscher von Varonis nannten die Methode "Reprompt". Copilot prüfte die erste Anfrage streng auf Schadcode. Bei Aufforderung zur Wiederholung griffen die Filter jedoch nicht mehr. Das System wertete den "Reprompt" als legitimen Folgekontext und gab blockierte Daten frei.
Clientseitige Tools erkannten den Datenabfluss kaum. Der Browser speicherte die Sitzung, sodass der Zugriff auch bei geschlossenem Tab anhielt. Microsoft behebt die Schwachstelle nach einem Bericht vom Ende August 2025 mit einem Update zum Januar Patch-Day. Nutzer sollten Browser und Apps aktualisieren. Es gibt keine Hinweise auf kriminelle Nutzung vorab.
Unternehmenskunden mit "Microsoft 365 Copilot" waren nicht betroffen. Die Variante nutzt strengere Tenant-Grenzen sowie Purview-Auditing und Data Loss Prevention (DLP). Externe URL-Parameter wirken sich hier nicht aus.
Nutzt ihr Copilot im privaten Umfeld und machen euch solche Lücken Sorgen? Oder vertraut ihr auf die schnellen Patches der Hersteller? Schreibt uns eure Meinung in die Kommentare.
Siehe auch:
Schutzfilter durch Tricks umgangen
Der Angriff traf nur die "Personal"-Variante von Copilot und nutzte eine bereits authentifizierte Browsersitzung. Ein Klick auf einen präparierten Link reichte laut dem Bericht von Günter Born dann aus. Angreifer lasen so Standortdaten, E-Mail-Inhalte, Dateizugriffe oder Konversationszusammenfassungen aus. Dies verdeutlicht das Risiko von "Indirect Prompt Injection".Sicherheitsforscher von Varonis nannten die Methode "Reprompt". Copilot prüfte die erste Anfrage streng auf Schadcode. Bei Aufforderung zur Wiederholung griffen die Filter jedoch nicht mehr. Das System wertete den "Reprompt" als legitimen Folgekontext und gab blockierte Daten frei.
Dauerhafter Zugriff durch Kettenreaktion
Die Attacke basierte auf drei Techniken:- P2P Injection: URL-Parameter 'q' injizierte Anweisungen beim Laden der Seite.
- Double-Request: Wiederholung umging Sicherheitsfilter.
- Chain-Request: Angreiferserver sandte fortlaufend Befehle.
Clientseitige Tools erkannten den Datenabfluss kaum. Der Browser speicherte die Sitzung, sodass der Zugriff auch bei geschlossenem Tab anhielt. Microsoft behebt die Schwachstelle nach einem Bericht vom Ende August 2025 mit einem Update zum Januar Patch-Day. Nutzer sollten Browser und Apps aktualisieren. Es gibt keine Hinweise auf kriminelle Nutzung vorab.
Unternehmenskunden mit "Microsoft 365 Copilot" waren nicht betroffen. Die Variante nutzt strengere Tenant-Grenzen sowie Purview-Auditing und Data Loss Prevention (DLP). Externe URL-Parameter wirken sich hier nicht aus.
Nutzt ihr Copilot im privaten Umfeld und machen euch solche Lücken Sorgen? Oder vertraut ihr auf die schnellen Patches der Hersteller? Schreibt uns eure Meinung in die Kommentare.
Zusammenfassung
- Sicherheitslücke in Copilot ermöglichte Datendiebstahl via URL-Manipulation
- Angriff betraf nur Copilot Personal mit authentifizierter Browsersitzung
- 'Reprompt'-Methode umging Sicherheitsfilter durch Wiederholungsaufforderung
- Datenabfluss blieb aktiv, selbst nach Schließen des Browser-Tabs
- Microsoft schloss die Schwachstelle mit Update am 13. Januar 2026
- Microsoft 365 Copilot für Unternehmen war durch Tenant-Grenzen geschützt
Siehe auch:
Thema:
Beliebte Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen