Sicherheitslücke in Microsoft Copilot Cowork ermöglicht Datei-Exfiltration
Microsoft Copilot Cowork, ein reales Microsoft-Produkt, weist eine sicherheitskritische Schwachstelle auf: Agenten innerhalb der Plattform können E-Mails direkt an den Posteingang des Nutzers senden – ohne explizite Genehmigung. Diese Nachrichten können externe Bilder enthalten, die beim Öffnen Netzwerkanfragen an externe Server auslösen. Gelingt einem Angreifer eine Prompt-Injection, kann er den Agenten dazu bringen, OneDrive-pre-authenticated-Download-Links in solche Nachrichten einzubetten. Öffnet der Nutzer die E-Mail, werden diese Links über die Bild-Requests nach außen übertragen – der Angreifer erhält damit Zugriff auf die betreffenden Dateien, ohne weitere Authentifizierung. Simon Willison kommentiert den Fall als symptomatisch für das größte ungelöste Design-Problem agenticer Systeme: die zuverlässige Verhinderung von Datenexfiltration durch manipulierte Agenten. Der Fall illustriert das sogenannte „lethal trifecta" aus unkontrollierter Agenten-Aktion, externer Ressourceneinbindung und pre-authentifizierten Zugriffslinks.
- Copilot Cowork-Agenten können E-Mails ohne Nutzerfreigabe an den eigenen Posteingang senden.
- Externe Bilder in Agenten-E-Mails lösen Netzwerkanfragen aus, die Daten nach außen tragen.
- OneDrive-pre-authenticated-Links können per Prompt Injection in Nachrichten eingeschleust werden.
- Simon Willison ordnet den Fall unter das Tag 'lethal-trifecta' ein (bisher 26 Einträge in seinem Blog).
- Die Schwachstelle erfordert keinen direkten Nutzer-Klick auf einen Link – allein das Öffnen der E-Mail reicht.
Frag die KI zum Artikel
Folgefragen zu Headline, Quelle und Volltext — Antwort streamt in wenigen Sekunden.
Verwandte Beiträge
- FORSCHUNGarstechnica.com3w
Kritische M365 Copilot-Lücke ermöglichte Diebstahl von 2FA-Codes per Link-Klick
- FORSCHUNGarxiv.org2w
ShareLock: Tarnangriff verteilt Schadcode über mehrere MCP-Tools
- FORSCHUNGarxiv.org2w
Sicherheitslücken in Agentic Offensive-Security-Tools: Erste Tiefenanalyse
- FORSCHUNGarxiv.org1w
Steganographie in Multi-Agent-Systemen: LLMs erzeugen undetektierbare Geheimkanäle
Sicherheitslücke in Microsoft Copilot Cowork ermöglicht Datei-Exfiltration
Microsoft Copilot Cowork, ein reales Microsoft-Produkt, weist eine sicherheitskritische Schwachstelle auf: Agenten innerhalb der Plattform können E-Mails direkt an den Posteingang des Nutzers senden – ohne explizite Genehmigung. Diese Nachrichten können externe Bilder enthalten, die beim Öffnen Netzwerkanfragen an externe Server auslösen. Gelingt einem Angreifer eine Prompt-Injection, kann er den Agenten dazu bringen, OneDrive-pre-authenticated-Download-Links in solche Nachrichten einzubetten. Öffnet der Nutzer die E-Mail, werden diese Links über die Bild-Requests nach außen übertragen – der Angreifer erhält damit Zugriff auf die betreffenden Dateien, ohne weitere Authentifizierung. Simon Willison kommentiert den Fall als symptomatisch für das größte ungelöste Design-Problem agenticer Systeme: die zuverlässige Verhinderung von Datenexfiltration durch manipulierte Agenten. Der Fall illustriert das sogenannte „lethal trifecta" aus unkontrollierter Agenten-Aktion, externer Ressourceneinbindung und pre-authentifizierten Zugriffslinks.
- Copilot Cowork-Agenten können E-Mails ohne Nutzerfreigabe an den eigenen Posteingang senden.
- Externe Bilder in Agenten-E-Mails lösen Netzwerkanfragen aus, die Daten nach außen tragen.
- OneDrive-pre-authenticated-Links können per Prompt Injection in Nachrichten eingeschleust werden.
- Simon Willison ordnet den Fall unter das Tag 'lethal-trifecta' ein (bisher 26 Einträge in seinem Blog).
- Die Schwachstelle erfordert keinen direkten Nutzer-Klick auf einen Link – allein das Öffnen der E-Mail reicht.
Frag die KI zum Artikel
Folgefragen zu Headline, Quelle und Volltext — Antwort streamt in wenigen Sekunden.
Verwandte Beiträge
- FORSCHUNGarstechnica.com3w
Kritische M365 Copilot-Lücke ermöglichte Diebstahl von 2FA-Codes per Link-Klick
- FORSCHUNGarxiv.org2w
ShareLock: Tarnangriff verteilt Schadcode über mehrere MCP-Tools
- FORSCHUNGarxiv.org2w
Sicherheitslücken in Agentic Offensive-Security-Tools: Erste Tiefenanalyse
- FORSCHUNGarxiv.org1w
Steganographie in Multi-Agent-Systemen: LLMs erzeugen undetektierbare Geheimkanäle