Microsoft 365 Kopilot

Aim Security hat die "EchoLeak"-Schwachstelle entdeckt, die einen für RAG Copilot typischen Designfehler ausnutzt, der es einem Angreifer ermöglicht, automatisch beliebige Daten im Kontext von M365 Copilot zu stehlen, ohne auf ein bestimmtes Nutzerverhalten angewiesen zu sein. Die Hauptangriffskette besteht aus drei verschiedenen Schwachstellen, aber Aim Labs hat bei seinen Untersuchungen noch weitere Schwachstellen identifiziert, die eine Ausnutzung ermöglichen könnten.