Reprompt-Angriffe nehmen Microsoft Copilot ins Visier
Mit der Reprompt-Angriffsmethode können Cyberkriminelle in Microsoft-Copilot-Sitzungen von Usern eindringen. Die Angreifenden können Daten stehlen und bösartige Befehle ausführen,, auch nach dem Schliessen des Copilot-Fensters durch das Opfer. Microsoft hat die Schwachstelle inzwischen behoben.
Cyberkriminelle könnten mit sogenannten Reprompt-Angriffen über Microsoft-Copilot-Sitzungen heikle Daten abgreifen. Ein Klick auf den falschen Link genügt bereits, um den Kriminellen die Türen zum Gerät zu öffnen, wie "Varonis" in einem Blogbeitrag schreibt.
Der manipulierte Link führe auf Copilot, der ohne Interaktion mit dem Chat einen Befehl über den Q-Parameter in der URL ausführe. Durch die Double-Request-Technik (das einfache verdoppeln bösartiger Prompts) würden Schutzmassnahmen von Copilot umgangen und mit der Chain-Request-Technik könnten Copilot weitere Anweisungen vom Server des Angreifenden gegeben werden, schreibt "Varonis" weiter.
Solche Angriffe wären laut dem Cybersicherheitsanbieter heimlich und skalierbar gewesen. Der Microsoft-KI-Assistent gab die Daten nach und nach Preis, sodass potenzielle Angreifende mit jeder Antwort neue böswillige Anweisungen generieren konnten. Weil die Befehle nach dem ersten Prompt vom Server der Angreifenden kommen, sei es nicht möglich, anhand des ersten manipulativen Prompts festzustellen, welche Daten gestohlen wurden. Damit hätten auch clientseitige Tools den Datenabfluss nicht erkennen können.
Das Angriffsszenario nutzte Standardfunktionen und bis auf das Klicken auf den Link waren gemäss dem Blog keine weiteren Benutzerinteraktionen nötig. Selbst nach dem Schliessen vom Copilot-Chat durch das Opfer hätten die Angreifenden weiterhin Zugriff auf das den KI-Assistenten gehabt.
Microsoft hat ein Sicherheitsupdate veröffentlicht, um dieses Problem zu lösen, wie "Varonis" schreibt. Wie es weiter heisst, betraf die Schwachstelle ausschlieslich Copilot Personal. Unternehmenskunden, die Microsoft 365 Copilot nutzen, seien von der Schwachstelle nicht betroffen.
Auch Anthropic hatte bereits mit manipulierten KI-Agenten zu tun. Über das KI-Tool Claude Code wurden Cyberangriffe mit minimaler menschlicher Beteiligung durchgeführt, wie Sie hier lesen können.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Nachfrage nach technischen Konsumgütern soll in Europa zunehmen
Zühlke Group ernennt neuen CEO
Fake-Krypto-Registrierung greift sensible Daten ab
Schweizer Unternehmen setzen auf die Cloud
Warum die Schweiz jetzt mehr in digitale Souveränität investieren sollte
Reprompt-Angriffe nehmen Microsoft Copilot ins Visier
Meta streicht Metaverse-Pläne zusammen
Wie die Meerschweinchen frei im Garten leben
Bund stellt Mobiles Sicherheitskommunikationssystem unter neue Leitung
