EchoLeak: Een Nieuw Type Aanval op Microsoft 365 Copilot

Een recente ontdekking genaamd ‘EchoLeak’ is de eerste bekende AI-kwetsbaarheid waarbij aanvallers zonder interactie gevoelige gegevens kunnen buitmaken uit Microsoft 365 Copilot.

Onderzoekers van Aim Labs bedachten deze aanval in januari 2025 en rapporteerden hun bevindingen aan Microsoft. Het bedrijf heeft de kwetsbaarheid als kritiek beoordeeld en met het kenmerk CVE-2025-32711 gecorrigeerd via een server-side update in mei. Gebruikers hoefden niets te doen, er is geen bewijs dat de kwetsbaarheid daadwerkelijk is uitgebuit.

Microsoft 365 Copilot, een AI-assistent in Office-toepassingen zoals Word, Excel, Outlook, en Teams, maakt gebruik van GPT-modellen van OpenAI en Microsoft Graph om gebruikers te helpen met het genereren van inhoud, data-analyse en beantwoording van vragen.

Hoewel het probleem is opgelost, is de EchoLeak-aanval belangrijk omdat het een nieuw soort kwetsbaarheid aantoont: de ‘LLM Scope Violation’, waarbij een groot taalmodel vertrouwelijke interne gegevens kan lekken zonder dat de gebruiker daar invloed op heeft.

Deze aanval vereist geen directe interactie met het slachtoffer en kan geautomatiseerd worden in zakelijke omgevingen, wat het gevaarlijk maakt voor systemen die AI integreren.

Hoe werkt EchoLeak?

De aanval begint met een kwaadaardige e-mail naar het doelwit, vermomd als een standaard zakelijk document.

Deze e-mail bevat een verborgen opdracht die het taalmodel instrueert om gevoelige gegevens te verzamelen en door te sturen.

Aangezien deze opdracht eruitziet als een gewone menselijke communicatie, omzeilt het de beveiligingen van Microsoft tegen cross-prompts.

Wanneer de gebruiker Copilot om hulp vraagt, wordt de e-mail door de Retrieval-Augmented Generation (RAG) engine in de context van het taalmodel geladen vanwege de opmaak en schijnbare relevantie.

De schadelijke opdracht "misleidt" het taalmodel om gevoelige gegevens op te halen en in een link of afbeelding te plaatsen.

Sommige markdown afbeeldingsformaten zorgen ervoor dat de browser de afbeelding opvraagt, waarbij automatisch de URL met de gegevens naar de server van de aanvaller wordt verzonden.

Hoewel Microsoft de meeste externe domeinen blokkeert, kunnen vertrouwde URL’s zoals Microsoft Teams en SharePoint misbruikt worden om gegevens te exfiltreren.

Versterk Uw Beveiliging

Hoewel het probleem is opgelost, blijven de uitdagingen groot door de complexiteit en integratie van taalmodellen in bedrijfsprocessen. Nieuwe kwetsbaarheden kunnen in stilte voor grootschalige aanvallen worden gebruikt.

Bedrijven moeten hun filters versterken, nauwkeurigere input scoping toepassen en filters op uitvoer van taalmodellen zetten om reacties met externe links te blokkeren.

Verder kunnen RAG-engines worden geconfigureerd om externe communicatie uit te sluiten, waardoor kwaadwillige prompts vanaf het begin worden vermeden.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.