CVE-2025-32711 Schwachstelle: „EchoLeak“-Fehler in Microsoft 365 Copilot könnte einen Zero-Click-Angriff auf einen KI-Agenten ermöglichen
Kurz nach der Offenlegung einer kritischen Zero-Day-RCE-Schwachstelle in Microsoft Windows, bekannt als CVE-2025-33053, sorgt ein weiteres Sicherheitsproblem, das Microsofts Produkt betrifft, für Schlagzeilen. Forscher haben kürzlich CVE-2025-32711 entdeckt, genannt „EchoLeak“, eine kritische Schwachstelle in Microsofts Copilot AI, die es Angreifern ermöglicht, vertrauliche Daten per E-Mail zu stehlen, ohne Benutzereingriffe. Dieser Angriff nutzt eine “LLM-Scope-Verletzung” aus und markiert den ersten bekannten Zero-Click-Angriff auf einen KI-Agenten.
Mit über 1,4 Milliarden Geräten, die Windows ausführen, und der weitverbreiteten Nutzung von Plattformen wie Azure und Microsoft 365 spielen Microsoft-Produkte eine zentrale Rolle in der globalen digitalen Infrastruktur. Der 2025 BeyondTrust Microsoft Vulnerabilities Report hervorgehoben einen Rekord von 1.360 veröffentlichten Microsoft-Schwachstellen im Jahr 2024, ein Anstieg von 11 % gegenüber dem vorherigen Höchststand. Dies spiegelt das fortlaufende Wachstum der Angriffsfläche und die Wichtigkeit wider, mit sich entwickelnden Bedrohungen Schritt zu halten.
Darüber hinaus nutzen Cyberkriminelle mit der raschen Einführung von KI in verschiedenen Branchen diese Technologie schnell aus, indem sie fortschrittliche Werkzeuge zur Beschleunigung und Verfeinerung ihrer Angriffe einsetzen. Wie im AI Security Report 2025 von Check Point Research hervorgehoben, nutzen Bedrohungsakteure zunehmend KI für Deepfake-Imitationen, automatisierte Malware-Erstellung, jailbroken LLMs und GenAI-gestützte Desinformationskampagnen, was einen gefährlichen Wandel in der Bedrohungslandschaft signalisiert.
Die Entdeckung von EchoLeak (CVE-2025-32711) unterstreicht die wachsende Schnittstelle zwischen traditionellen Software-Schwachstellen und aufkommenden KI-Bedrohungen, was bedeutet, dass Cyber-Verteidiger ihre Verteidigungsstrategien anpassen sollten, um proaktiv auf neuartige Bedrohungen zu reagieren.
Melden Sie sich bei der SOC Prime Platform an, um Zugriff auf den globalen Feed aktiver Bedrohungen zu erhalten, der Echtzeit-Cyber-Threat-Intelligence und kuratierte Erkennungsalgorithmen bietet, um aufkommende Bedrohungen zu adressieren. Sicherheitsteams können eine umfangreiche Sammlung kontextangereicherter Sigma-Regeln erkunden, die mit „CVE“ gekennzeichnet und durch eine vollständige Produktsuite für KI-gestützte Detektionstechnik, automatisierte Bedrohungssuche und erweiterte Bedrohungserkennung unterstützt werden.
Alle Regeln sind mit mehreren SIEM-, EDR- und Data-Lake-Formaten kompatibel und auf das MITRE ATT&CK Framework abgebildet. Darüber hinaus wird jede Regel mit CTI Links, Angriffszeitlinien, Audit-Konfigurationen, Triage-Empfehlungen und mehr relevantem Kontext angereichert. Drücken Sie die Erkennungen erkunden Taste, um den gesamten Erkennungs-Stack für proaktive Verteidigung gegen kritische Schwachstellen zu sehen, gefiltert nach dem „CVE“-Tag.
Sicherheitsingenieure können auch Uncoder AInutzen—eine private, nich agentische KI, die speziell für threat-informed Detektionstechnik entwickelt wurde. Mit Uncoder können Verteidiger IOCs automatisch in umsetzbare Jagd-Abfragen umwandeln, Erkennungsregeln aus Rohbedrohungsberichten erstellen, ATT&CK-Tag-Voraussagen ermöglichen, KI-gesteuerte Abfrageoptimierung nutzen und Erkennungsinhalte über mehrere Plattformen hinweg übersetzen.
CVE-2025-32711 Analyse
Aim Labs hat eine kritische Zero-Click-KI-Schwachstelle in Microsoft 365 Copilot identifiziert und mehrere zugehörige Angriffsketten an Microsofts Security Response Center gemeldet. Der Fehler, verfolgt als CVE-2025-32711 und genannt „EchoLeak“, wird mit einem CVSS-Score von 9,3 als kritisch eingestuft.
Der Angriff nutzt eine neu entdeckte Ausnutzungsmethode, die als „LLM Scope Violation“ bezeichnet wird, bei der externe, nicht vertrauenswürdige Eingaben das KI-Modell manipulieren können, um auf vertrauliche Daten zuzugreifen und diese offenzulegen. Potenziell offengelegte Informationen umfassen alles innerhalb des Zugriffsumfangs von Copilot, wie Chatprotokolle, OneDrive-Dateien, SharePoint-Inhalte, Teams-Nachrichten und andere vorgeladene Organisationsdaten. Dies stellt einen bedeutenden Fortschritt im Verständnis dar, wie Bedrohungsakteure die internen Funktionsweisen von KI-Systemen ausnutzen können.
Die identifizierten Angriffsketten ermöglichen die automatische Exfiltration sensibler und proprietärer Daten aus der M365 Copilot-Umgebung, ohne dass Benutzereingriffe oder bestimmtes Verhalten erforderlich sind. Bemerkenswerterweise tritt dies auf, selbst wenn die Copilot-Schnittstelle auf den internen organisatorischen Gebrauch beschränkt ist. Bedrohungsakteure müssen lediglich eine E-Mail senden, unabhängig von der Identität des Absenders, um den Exploit auszulösen. Forscher betonen die Schwere des Fehlers und stellen fest, dass die meisten Organisationen aufgrund der Standardeinstellungen von Copilot möglicherweise anfällig sind, obwohl es keine Hinweise auf tatsächliche Ausnutzung gibt.
Als Zero-Click-Schwachstelle weist EchoLeak ernste Implikationen für Datendiebstahl und Erpressung auf und hebt die breiteren Risiken hervor, die mit der Architektur von KI-Agenten und Chatbots in agentischen Systemen verbunden sind. Dieser Angriff stellt eine bahnbrechende und praxisnahe Ausnutzungsmethode dar, die LLM-Anwendungen ins Visier nimmt, bei der Gegner das Modell gegen sich selbst einsetzen können, um die sensibelsten Daten aus seinem Kontext zu extrahieren. Im Kern kombiniert der Angriff traditionelle Sicherheitsmängel wie CSP-Umgehung mit KI-spezifischen Schwachstellen wie Prompt-Injektion. Kritisch hebt er systemische Design-Schwächen hervor, die in vielen RAG-Systemen und KI-Agenten vorhanden sind.
Microsoft bestätigte in seiner entsprechende Beratung dass das Problem vollständig behoben wurde und keine weiteren Maßnahmen von den Kunden erforderlich sind. Als potenzielle Minderungsschritte für CVE-2025-32711 bietet der Anbieter auch DLP-Tags an, um die Verarbeitung externer E-Mails zu blockieren, zusammen mit einer neuen M365-Roadmap-Funktion, die den Zugriff von Copilot auf E-Mails mit Sensitivitätstags einschränkt. Das Aktivieren dieser Kontrollen kann jedoch die Funktionalität von Copilot verringern, da der Zugriff auf externe oder sensible Inhalte eingeschränkt wird. Zusätzlich haben Aim Labs Forscher in Echtzeit-Richtlinien erstellt, die darauf ausgelegt sind, LLM-Scope-Verletzungsschwachstellen zu verhindern. Diese Schutzmaßnahmen können umfassend auf KI-Agenten und RAG-basierte Anwendungen angewendet werden, nicht auf M365 Copilot beschränkt.
Die Ausnutzungsrisiken erstrecken sich weit über eine einzelne Plattform hinaus und betonen die dringende Notwendigkeit für proaktive Verteidigungsmaßnahmen, rigorose Bedrohungsmodellierung und die Implementierung robuster Schutzmaßnahmen in KI-gesteuerten Anwendungen. Um den zunehmend anspruchsvollen Bedrohungen einen Schritt voraus zu bleiben, die durch die rasche Einführung und den Missbrauch von KI durch Gegner angeheizt werden, SOC Prime Platform bietet eine unternehmensbereite Produktsuite, die ethische KI, Automatisierung, Echtzeit-Bedrohungsinformationen kombiniert und auf einem Datenschutz-zuerst, Zero-Trust-Prinzip aufgebaut ist, um Organisationen zu stärken, ihre Cybersecurity-Resilienz zu stärken.
