Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
GBHackers · 11.5., 20:44 · sikkerhet

Microsoft 365 Copilot: tre informasjonslekkasjer kan gi tilgang til sensitive data

SYNOPSIS_GENERERT

Microsoft offentliggjorde 7. mai tre prompt-injection-sårbarheter (CVSS 7.5) i 365 Copilot og Copilot Chat i Edge. Backend-fix er rullet ut globalt, ingen kundeoppgave kreves.

Microsoft 365 Copilot har full lesetilgang til e-post, Teams-meldinger, Word-dokumenter og SharePoint i organisasjoner som har slått det på. Den lesetilgangen forklarer hvorfor de tre nye sårbarhetene Microsoft offentliggjorde 7. mai er farlige: prompt-injection mot LLM-en kunne brukes til å lure Copilot til å gjenfortelle innhold den i utgangspunktet skulle holde inne.

Alle tre har CVSS 3.1 base score 7.5 med nettverks-vektor og lav angrepskompleksitet. Ingen krever forhåndsprivilegier eller brukerinteraksjon. CVE-2026-26129 er feil håndtering av spesialtegn i 365 Copilot (CWE-138), CVE-2026-26164 er injection i utdata til nedstrøms-komponenter (CWE-74), og CVE-2026-33111 er kommando-injection i Copilot Chat i Edge (CWE-77).

Microsoft har allerede patchet hullene i backend. Ifølge Microsofts CVE-dokumentasjon kreves ingen kundeoppgave, fordi Copilot er en fullt managed skytjeneste, så input-saneringen ble rullet ut globalt. CVSS-metrikken indikerer høy impact på konfidensialitet, men ingen påvirkning på integritet eller tilgjengelighet. I praksis: noen kan ha lest dataene dine i vinduet før patchen; ingen har endret dem.

«As generative AI becomes deeply integrated into daily enterprise workflows, the potential exposure of proprietary documents and internal communications makes these vulnerabilities particularly alarming for security teams.» — GBHackers

Mønsteret er verdt å notere: samme angrepsvektor (prompt-injection mot LLM-input) gir tre separate CVE-er i tre litt forskjellige Copilot-flater. CWE-138, CWE-74 og CWE-77 er klassiske webapp-feil som her dukker opp i KI-assistent-stack-en. Klassen feil er den utviklere ville stoppet med en input-validator i et vanlig API. Forskjellen er at LLM-en aksepterer fri tekst som kommandoer, og dermed må saneringen forstå semantikk, ikke bare syntaks. Mønsteret tyder på en jevn strøm av lignende CVE-er i Copilot-flaten i månedene som kommer, etter hvert som forskere kartlegger hver inngang LLM-en slipper inn.

Hva bør du gjøre?

  1. Sjekk om organisasjonen har 365 Copilot påslått og hvilke datakilder den har tilgang til (SharePoint, Teams-historikk, OneDrive). Det er den faktiske blast radius hvis et lignende hull dukker opp neste gang.
  2. Loggfør Copilot-prompts der det er mulig. Microsoft Purview kan eksponere både brukerprompt og responser, og uten det vet du ikke om noen har trigget en injection før patchen.
  3. Anta at Copilot-flaten får flere prompt-injection-CVE-er og bygg policy som om det er forventet, ikke et avvik. Audit-logger og minimum-privilege på datakildene Copilot kobles til er den varige fiksen.
Åpne eksternt kildedokument
Microsoftsikkerhetpersonvern

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN