Reprompt-Angriffe nehmen Microsoft Copilot ins Visier
Mit der Reprompt-Angriffsmethode können Cyberkriminelle in Microsoft-Copilot-Sitzungen von Usern eindringen. Die Angreifenden können Daten stehlen und bösartige Befehle ausführen,, auch nach dem Schliessen des Copilot-Fensters durch das Opfer. Microsoft hat die Schwachstelle inzwischen behoben.
Cyberkriminelle könnten mit sogenannten Reprompt-Angriffen über Microsoft-Copilot-Sitzungen heikle Daten abgreifen. Ein Klick auf den falschen Link genügt bereits, um den Kriminellen die Türen zum Gerät zu öffnen, wie "Varonis" in einem Blogbeitrag schreibt.
Der manipulierte Link führe auf Copilot, der ohne Interaktion mit dem Chat einen Befehl über den Q-Parameter in der URL ausführe. Durch die Double-Request-Technik (das einfache verdoppeln bösartiger Prompts) würden Schutzmassnahmen von Copilot umgangen und mit der Chain-Request-Technik könnten Copilot weitere Anweisungen vom Server des Angreifenden gegeben werden, schreibt "Varonis" weiter.
Solche Angriffe wären laut dem Cybersicherheitsanbieter heimlich und skalierbar gewesen. Der Microsoft-KI-Assistent gab die Daten nach und nach Preis, sodass potenzielle Angreifende mit jeder Antwort neue böswillige Anweisungen generieren konnten. Weil die Befehle nach dem ersten Prompt vom Server der Angreifenden kommen, sei es nicht möglich, anhand des ersten manipulativen Prompts festzustellen, welche Daten gestohlen wurden. Damit hätten auch clientseitige Tools den Datenabfluss nicht erkennen können.
Das Angriffsszenario nutzte Standardfunktionen und bis auf das Klicken auf den Link waren gemäss dem Blog keine weiteren Benutzerinteraktionen nötig. Selbst nach dem Schliessen vom Copilot-Chat durch das Opfer hätten die Angreifenden weiterhin Zugriff auf das den KI-Assistenten gehabt.
Microsoft hat ein Sicherheitsupdate veröffentlicht, um dieses Problem zu lösen, wie "Varonis" schreibt. Wie es weiter heisst, betraf die Schwachstelle ausschlieslich Copilot Personal. Unternehmenskunden, die Microsoft 365 Copilot nutzen, seien von der Schwachstelle nicht betroffen.
Auch Anthropic hatte bereits mit manipulierten KI-Agenten zu tun. Über das KI-Tool Claude Code wurden Cyberangriffe mit minimaler menschlicher Beteiligung durchgeführt, wie Sie hier lesen können.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Gaming-Mäuse auf der Jagd nach Kills
So verändert KI laut Abacus den Geschäftsalltag
So verändert KI laut Opacc den Geschäftsalltag
Wie Business-Software zum Fundament von KI-Agenten wird
Worauf es bei der Wahl eines ERP-Systems wirklich ankommt
Wie der neue Europa3000-CEO nach der Übernahme durch die Selectline Group Kurs hält
Was Hostpoint von IT-Dienstleistern erwartet
So verändert KI laut Proalpha den Geschäftsalltag
So verändert KI laut Servicenow den Geschäftsalltag
