EchoLeak: Zero-Click-Lücke

Die jetzt entdeckte Zero-Click-Sicherheitslücke namens EchoLeak in Microsoft Copilot macht deutlich, wie leicht sich KI-Systeme kompromittieren lassen.

Aim Security hat die kritische Schwachstelle aufgedeckt, die Angriffe ohne Nutzerinteraktion ermöglicht. Wie diese Lücke ausgenutzt werden kann und was Unternehmen jetzt unbedingt wissen müssen, erfahren Sie bei uns.

Schwachstelle EchoLeak in Microsoft Copilot

Sicherheitsforscher von Aim Security haben eine gravierende Schwachstelle in Microsoft Copilot aufgedeckt. Die Lücke, die unter dem Namen EchoLeak bekannt wurde, betrifft die KI-Funktionalitäten innerhalb von Microsoft 365 – also etwa in Word, Excel, Outlook oder Teams. Besonders kritisch: Es handelt sich um eine Zero-Click-Schwachstelle. Angreifer benötigen keinerlei Interaktion der betroffenen Nutzer, um Daten abzugreifen.

Der Ursprung des Problems liegt in einem Designfehler kontextbasierter Large Language Models (LLMs), wie sie auch Copilot nutzt. Diese Modelle analysieren eingehende Inhalte – etwa E-Mails – und generieren auf Basis zusätzlicher Kontextdaten aus verknüpften Microsoft-365-Konten passende Ausgaben. Genau hier setzte der von Aim Labs entdeckte Angriff an: Durch geschickt präparierte E-Mails mit versteckten Anweisungen wurde Copilot dazu gebracht, sensible Inhalte preiszugeben und externe Verbindungen herzustellen – ohne dass Nutzer eine einzige Aktion ausführen mussten.

Die Sicherheitslücke wurde unter der ID CVE-2025-32711 mit einem CVSS-Wert von 9.3 eingestuft – ein klares Indiz für die hohe Kritikalität. Erst im Juni 2025 konnte Microsoft den Fehler serverseitig beheben. Zu diesem Zeitpunkt war die Schwachstelle laut Hersteller zwar noch nicht aktiv ausgenutzt worden, doch das Potenzial für Missbrauch ist enorm – besonders für Unternehmen, die stark auf KI-gestützte Anwendungen setzen.

Neue Gefahr für Nutzer durch Zero-Klick-Sicherheitslücke in Large Language Models (LLMs). Bild: stock.adobe.com/Formatoriginal

Was macht Zero-Click-Angriffe so gefährlich?

Zero-Click-Angriffe zählen zu den perfidesten Angriffsformen im Bereich der Cybersicherheit – nicht zuletzt, weil sie nahezu unsichtbar bleiben. Anders als bei klassischen Phishing- oder Social-Engineering-Attacken müssen Betroffene keine Links anklicken oder Anhänge öffnen. Ein einzelner empfangener Inhalt – etwa eine manipulierte E-Mail – genügt, damit die Attacke ausgelöst wird.

Im Fall von EchoLeak wurde genau dieser Mechanismus genutzt: Unscheinbare, aber präzise formulierte Anweisungen waren in E-Mails eingebettet. Microsoft Copilot erkannte diese versteckten Prompts und interpretierte sie als legitime Arbeitsanweisungen. Ohne jegliches Zutun des Nutzers generierte das System daraufhin Inhalte, die unter anderem interne Dokumente, Chatverläufe oder Meeting-Zusammenfassungen aus dem Microsoft-365-Konto einbezogen – ein enormes Datenrisiko.

Das besonders Heimtückische an Zero-Click-Angriffen ist, dass sie oft nicht einmal durch moderne Sicherheitssysteme erkannt werden. Klassische Schutzmechanismen wie Firewalls, Antivirensoftware oder E-Mail-Filter greifen an dieser Stelle nicht, da kein „klassisches“ bösartiges Verhalten vorliegt. Stattdessen wird die interne Logik des KI-Modells selbst zum Angriffsziel – mit potenziell weitreichenden Folgen für Unternehmen und deren sensiblen Daten.

Wie funktioniert der Angriff mit EchoLeak?

Die Sicherheitslücke CVE-2025-32711 basiert auf einer Kombination mehrerer technischer Schwächen in der Architektur von Microsoft Copilot. Aim Labs entwickelte dafür einen mehrstufigen Exploit, der die KI schrittweise dazu bringt, sensible Daten auszugeben und extern zu übertragen – ohne Nutzereingriff.

• Schritt 1: Der sogenannte XPIA-Schutz (Cross-Prompt Injection Classifier) wurde umgangen. Dazu verfassten die Forscher eine scheinbar harmlose E-Mail mit unsichtbaren Anweisungen für das Sprachmodell – sogenannte „Prompt Injections“. Diese enthielten weder Begriffe wie „KI“ noch „Copilot“, um den Schutzmechanismus nicht auszulösen. Für Copilot waren die Anweisungen eine legitime Eingabe, die mit kontextbasierten Inhalten aus dem Microsoft-365-Konto beantwortet wurden, unter anderem mit Kalenderdaten und internen Dokumente.
• Schritt 2: Anschließend schleusten die Forscher einen Referenz-Link im Markdown-Format in die automatisch generierte Antwort ein. Copilot erkannte diesen Link nicht als sicherheitsrelevantes Element, weshalb auch keine Filterung oder Kontrolle erfolgte. Der Link verwies auf eine externe Domain und übertrug sensible Nutzerdaten direkt im URL-Parameter – ein unbemerkter Datenabfluss.
• Schritt 3: Nun ersetzten die Angreifer den Link durch ein Markdown-Bild mit externer URL. Solche Bilder werden im Browser sofort geladen – und mit ihnen auch die im Bildlink codierten Informationen. Ein Klick war nicht erforderlich. Doch damit nicht genug: Um Microsofts Content-Security-Policy (CSP) zu umgehen, nutzten die Forscher eine zulässige SharePoint-Domain als Weiterleitung. Voraussetzung war lediglich, dass das Zielkonto den Zugriff auf die getarnte SharePoint-Seite bestätigte.

Der gesamte Angriff verläuft vollautomatisiert, unsichtbar und innerhalb weniger Sekunden – ein erschreckend effektiver Mechanismus, der zeigt, wie tief KI-Modelle in Unternehmensprozesse eingreifen und zugleich angreifbar sind.

Die Sicherheitslücke EchoLeak betrifft neben Microsofts Copilot auch andere KI-Anwendungen. Bild: stock.adobe.com/InfiniteFlow

EchoLeak: auch andere KI-Anwendungen betroffen

Obwohl die Schwachstelle EchoLeak in Microsoft Copilot entdeckt wurde, betrifft das zugrunde liegende Problem eine viel breitere Klasse von KI-Systemen. Insbesondere Anwendungen, die auf der sogenannten RAG-Architektur (Retrieval-Augmented Generation) basieren, gelten als anfällig. Dabei handelt es sich um Systeme, die externe Datenquellen – etwa interne Datenbanken oder Cloud-Dokumente – zur Kontexterweiterung der generierten Antworten nutzen.

Diese Architektur macht RAG-basierte KI-Agenten besonders leistungsfähig, gleichzeitig aber auch verwundbar. Denn sobald ein Sprachmodell durch eingebettete Prompts dazu gebracht wird, seinen definierten Kontextrahmen zu verlassen – eine sogenannte „LLM Scope Violation“ –, können vertrauliche Informationen unbemerkt in Antworten einfließen. Genau dies demonstrierte Aim Security erfolgreich mit mehreren Large Language Models, darunter auch GPT, Llama und Gemini.

Konkret bedeutet das, dass sich die Gefahr nicht auf Microsoft-Produkte beschränkt. Auch andere Anbieter, die KI-Funktionen in ihre Softwarelösungen integrieren, sollten ihre Modelle und Kontexteingrenzungen dringend überprüfen. Insbesondere Systeme mit Zugriff auf unternehmensinterne Daten – wie CRM-, Helpdesk- oder Kollaborationsplattformen – sind potenzielle Ziele.

Die Zero-Click-Technik zeigt, wie schnell sich generative KI von einem intelligenten Helfer zu einem unkontrollierten Sicherheitsrisiko entwickeln kann, wenn grundlegende Schutzmaßnahmen fehlen.

RAG-Architektur – ein Einfallstor für Angreifer

Retrieval-Augmented Generation (RAG) gilt als leistungsstarkes Modellprinzip für moderne KI-Anwendungen. Es verbindet Large Language Models mit externen Informationsquellen, um präzisere, kontextbezogene Antworten zu liefern. Doch gerade diese Stärke entpuppt sich als Schwachpunkt, wenn es um die IT-Sicherheit geht.

In klassischen Systemen beschränkt sich die Antwortgenerierung eines LLM auf den statischen Prompt. RAG-Modelle hingegen integrieren dynamisch Informationen aus verknüpften Datenquellen – etwa SharePoint-Verzeichnissen, OneDrive-Dokumenten oder E-Mail-Inhalten. Wenn ein Angreifer nun über gezielte Prompt-Injection-Techniken Zugriff auf diese Kontexterweiterung erhält, kann er Inhalte abgreifen, die ursprünglich nie für eine externe Verwendung bestimmt waren.

Das Problem: Weder Firewalls noch Endpoint-Protection-Lösungen erkennen solche Angriffe, da die Manipulation innerhalb der logischen Verarbeitung der KI stattfindet – und nicht als klassischer Datenabfluss. Sicherheitsforscher sprechen deshalb von einer neuen Angriffskategorie, die nicht mehr auf Schwachstellen in IT-Infrastrukturen zielt, sondern auf die „Interpretationslogik“ der KI selbst.

Für kleine und mittlere Unternehmen, die auf Effizienz durch KI setzen, birgt das erhebliche Risiken. Denn je mehr operative Daten ein System ausliest, desto mehr Angriffsfläche entsteht – oft unbemerkt und unzureichend abgesichert.

KI kann die Arbeit vereinfachen und effizienter machen, birgt aber gerade für kleine und mittlere Unternehmen große Gefahr. Bild: stock.adobe.com/Drobot Dean

Microsoft reagiert verzögert auf EchoLeak

Obwohl Aim Security die Schwachstelle EchoLeak bereits im Januar 2025 entdeckte, dauerte es rund fünf Monate, bis Microsoft den Exploit serverseitig beheben konnte. Die offizielle Einstufung als kritische Sicherheitslücke (CVE-2025-32711) wurde erst im Juni veröffentlicht. In dieser Zeitspanne waren unzählige Unternehmen potenziell verwundbar – ohne davon zu wissen.

Ein Sprecher von Microsoft erklärte gegenüber Fachmedien, dass der Konzern zusätzliche „tiefgreifende Verteidigungsmaßnahmen“ implementiert habe, um künftige Bedrohungen abzuwehren. Dennoch übte Aim-Security-Mitgründer Adir Gruss deutliche Kritik an der Reaktionsgeschwindigkeit. Er bezeichnete die Dauer der Problemlösung als „sehr hoch“, was unter anderem daran gelegen haben dürfte, dass es sich um eine neuartige Angriffsklasse handelte, für die zunächst intern die richtigen Fachteams aufgebaut werden mussten.

Die Episode zeigt: Auch große Technologiekonzerne sind nicht automatisch auf neue Bedrohungsszenarien vorbereitet – besonders dann nicht, wenn sich diese außerhalb klassischer Angriffsvektoren bewegen und innerhalb KI-gesteuerter Prozesse abspielen.

Ein strukturelles Problem von KI-Agenten

EchoLeak ist kein isolierter Vorfall – darin sind sich die Sicherheitsexperten einig. Die Angriffsfläche entsteht durch ein fundamentales Designprinzip moderner KI-Agenten: Sie verarbeiten vertrauenswürdige und unkontrollierte Eingaben ohne differenzierte Bewertung im selben Verarbeitungsschritt. Dadurch können sie gezielt manipuliert werden – selbst wenn eine Aktion eigentlich nur systemintern ablaufen sollte.

Adir Gruss vergleicht dieses Verhalten mit einer Person, die blind allem folgt, was sie liest. Diese strukturelle Offenheit macht KI-Agenten extrem anfällig für indirekte Steuerung durch Dritte. Und das betrifft nicht nur Microsoft Copilot, sondern alle Systeme, die Sprachmodelle mit geschäftskritischen Applikationen – und damit auch mit sensiblen Daten – verbinden.

Laut Gruss sei ein grundlegend neuer technischer Ansatz notwendig. Künftige KI-Modelle müssten strikt zwischen vertrauenswürdigen Befehlen und externen Daten trennen. Nur so lasse sich verhindern, dass manipulative Eingaben von außen wie legitime Kommandos behandelt werden. Die aktuelle Situation erinnere ihn an Sicherheitslücken der 1990er-Jahre, als Angreifer durch Pufferüberläufe Kontrolle über ganze Systeme erhielten – eine Warnung, die Unternehmen ernst nehmen sollten.

Zumindest bei Microsofts Copilot ist die Sicherheitslücke mit dem Juni-Update behoben worden. Grundsätzlich müssen KI-Modelle zwischen vertrauenswürdigen Befehlen und externen Daten trennen können, um manipulative Eingaben verhindern zu können. Bild: stock.adobe.com/Sutthiphong

Wie können Sie EchoLeak abwehren?

Microsoft hat nach Bekanntwerden der Schwachstelle die Sicherheitslücke serverseitig behoben. Laut Unternehmensangaben seien bislang keine Kunden konkret betroffen gewesen. Mit dem Juni-Update, dass keine Nutzeraktion erforderte, wurden zentrale Maßnahmen eingespielt.

Dennoch empfiehlt Microsoft zusätzlich die Nutzung von DLP-Tags (Data Loss Prevention), mit denen sich Copilot konfigurieren lässt. So kann etwa verhindert werden, dass Sprachmodelle externe Inhalte wie E-Mails interpretieren oder aus bestimmten Speicherbereichen Kontextdaten beziehen. Auch lässt sich die Verarbeitung von Markdown-Elementen in automatisierten Antworten einschränken – ein wesentlicher Angriffskanal im Exploit von Aim Security.

Parallel dazu haben die Sicherheitsforscher selbst technische Schutzmechanismen entwickelt. Diese setzen direkt am Kontextmanagement der LLMs an. Ziel ist es, sogenannte „Scope Violations“ in Echtzeit zu erkennen und automatisiert zu blockieren. Ob und wann diese Lösungen marktreif werden, ist allerdings noch offen.

Grundsätzlich empfehlen Experten, die Einbindung generativer KI immer unter Berücksichtigung etablierter IT-Sicherheitsgrundlagen zu prüfen. Das umfasst auch die Klassifizierung von Unternehmensdaten, das konsequente Berechtigungsmanagement und die Protokollierung von KI-basierten Abfragen. Denn selbst ein KI-Modell mit hoher Trefferquote ist kein Ersatz für durchdachte Zugriffs- und Kontrollkonzepte.

EchoLeak: Tipps für Unternehmen

Auch wenn Microsoft die Lücke in Copilot bereits geschlossen hat, zeigt der Vorfall deutlich: Der Einsatz generativer KI im Unternehmensumfeld bringt neue, bislang wenig durchdachte Angriffsvektoren mit sich. Gerade kleine und mittlere Unternehmen, die Copilot oder ähnliche KI-Lösungen produktiv einsetzen, sollten proaktiv handeln.

Zunächst gilt es, Transparenz über eingesetzte KI-Funktionen zu schaffen: Wo wird KI genutzt? Welche Rechte besitzt das Modell? Auf welche Inhalte greift es zu? Darüber hinaus sollten folgende Maßnahmen geprüft und umgesetzt werden:

• Konfiguration der KI-Systeme: Funktionalitäten wie das automatische Interpretieren von E-Mails oder die Darstellung externer Inhalte im Markdown-Format sollten eingeschränkt oder deaktiviert werden – insbesondere bei sensiblen Datenumgebungen.
• Einsatz von DLP-Tags: Durch gezielte Klassifizierung können Datenverluste verhindert werden. Microsoft stellt hierfür praxisnahe Konfigurationsoptionen bereit.
• Mitarbeitersensibilisierung: Auch wenn Zero-Click-Angriffe keine Interaktion erfordern, sollten Teams verstehen, wie KI-basierte Funktionen arbeiten und welche neuen Risiken entstehen.
• Technische Kontrolle der Datenströme: Logging, Monitoring und die systematische Analyse von KI-Ausgaben helfen dabei, untypisches Verhalten frühzeitig zu erkennen.

Unternehmen, die diese Punkte berücksichtigen, stärken ihre Sicherheitslage – auch jenseits der konkreten Schwachstelle EchoLeak. Denn eines ist klar: Die nächste Angriffsmethode, die auf der Logik generativer KI basiert, ist nur eine Frage der Zeit.

Mit einem erfahrenen PC-SPEZIALISten an Ihrer Seite sind Sie gut beraten, wenn es um die IT.-Sicherheit Ihrer Firmen-IT geht. Bild: stock.adobe.com/goodluz

IT-Sicherheit trotz KI dank PC-SPEZIALIST

Der Einsatz von KI wie Microsoft Copilot bietet große Chancen – birgt aber auch neue Sicherheitsrisiken. Gerade bei Zero-Click-Angriffen, wie sie mit EchoLeak bekannt wurden, braucht es ein fundiertes Sicherheitskonzept, damit Ihre sensiblen Firmendaten nicht in fremde Hände gelangen und Schindluder mit ihnen getrieben wird. Für Ihren Betrieb kann das existenzielle Folgen nach sich ziehen.

Wir von PC-SPEZIALIST unterstützen Sie dabei, Ihre Systeme zu analysieren, Risiken zu erkennen und passende Schutzmaßnahmen umzusetzen. Fragen Sie gezielt nach Infrastrukturanalyse, PC-Check und Penetrationstest.

Ob Datenschutz, Rechteverwaltung, KI-gestützte Prozessautomatisierung, DLP-Konfiguration oder Mitarbeitersensibilisierung: PC-SPEZIALIST steht Ihnen mit technischem Know-how und individueller Beratung zur Seite. Nutzen Sie unsere Standortsuche und finden Sie einen IT-Dienstleister von PC-SPEZIALIST ganz in Ihrer Nähe.

_______________________________________________

Quellen: aim Security, security-insider, heise, Pexels/Markus Spiske (Headerbild)