EchoLeak is een kwetsbaarheid in Microsoft 365 Copilot waardoor aanvallers toegang konden krijgen tot gevoelige bedrijfsgegevens. De Copilot-gebruiker hoefde geen actie te ondernemen. In plaats daarvan werd een kwaadaardige instructie naar Copilot gesmokkeld in een e-mail die het slachtoffer alleen maar hoefde te ontvangen om te worden blootgesteld aan het beveiligingsprobleem.
Inleiding
Copilot van Microsoft is een algemene AI, die in sommige aspecten nuttig lijkt te zijn, maar vaak moet worden aangemerkt als een mislukking. Een eenvoudig test met een zeer eenvoudige opgave onthulde het eklatante mislukken van Copilot op funktionele niveau.
Bekendelijk grijpt Microsoft de gegevens van klanten op grote schaal op, zonder zich daarvoor te schamen. In plaats daarvan maakt Microsoft dit plan zelfs openbaar (waarschijnlijk uit juridische redenen).
Relatief nieuw is de grote gevaar, die voor bedrijven en particuliere gebruikers van Copilot uitgaat. Copilot heeft toegang tot bijna alle data op de computers waar dit AI-apparaat is geïnstalleerd. Via de Microsoft 365-platform, waarnaar Copilot "zonder onderbrekingen" is geïntegreerd, worden weerom data overal ter wereld gestuurd, bijvoorbeeld via de Teams-app.
EchoLeak maakt hier slim gebruik van. Een Copilot-gebruiker hoefde geen fout te maken om getroffen te worden. Het what al genoeg om een Copilot-gebruiker te zijn om aangevallen te worden en gegevensverlies te lijden. Microsoft heeft stilzwijgend de beveiligingslek tot zwijgen gebracht en deze pas vier maanden na melding gesloten door een "whistleblower".
Wat is EchoLeak?
EchoLeak is een Zero-Click Securitylek. Dat betekent: U bent de domme, zelfs als u niets verkeerd hebt gedaan en nergens op hebt geklikt waar u niet had moeten klikken. De schuld ligt niet bij u, maar bij Microsoft 365 Copilot.
Het resultaat van EchoLeak is exfiltratie van gegevens van je systeem. Door deze exfiltratie kunnen onbevoegden je gegevens bemachtigen dankzij Copilot en het geweldige Microsoft 365-ecosysteem. De aanvaller heeft geen interactie van de gebruiker nodig om succesvol te zijn.
Microsoft 365 Copilot systemen in alle configuraties werden getroffen. Toegang tot gegevens what mogelijk via Word, Excel, PowerPoint, Outlook, Teams, SharePoint-sites, OneDrive-content en Microsoft Graph.
Technical Analyse
De EchoLeak-aanval what succesvol omdat het Copilot taalmodel (LLM) niet met voldoende beperkingen werkte. In plaats daarvan werden alle mogelijke gegevens van werkstations waarop Copilot werd uitgevoerd, gewoon ingevoerd in de Microsoft AI en geanalyseerd. Op deze manier werden betrouwbare interne gegevens gemengd met onbetrouwbare externe input in hetzelfde "denkproces".
Dit betekende dat een e-mail ontvangen van een aanvaller (inclusief een spam e-mail) ervoor kon zorgen dat Copilot toegang kreeg tot interne gegevens en deze gegevens doorstuurde naar de aanvaller.
Er is een database waarin bekende beveiligingslekken van softwareproducten zijn opgesomd. Deze heet CVE (Common Vulnerabilities and Exposures). Elke beveiligingslek wordt naar zijn kritiekheid beoordeeld. 10 is de hoogste waarde.
De Microsoft 365 Copilot kwetsbaarheid genaamd EchoLeak kreeg een score van 9.3, wat aangeeft hoe kritiek het probleem what dat Microsoft had verzwegen.
Zelfs als Microsoft alle klanten op de hoogte had gebracht, zou zijn actie nog steeds zeer twijfelachtig zijn. Het feit alleen al dat het probleem bestond, is een teken van Microsofts vreemde opvatting over gegevensbescherming en -beveiliging. Volledige toegang tot alle gegevens op een systeem zou op zijn minst niet standaard moeten gebeuren. Misschien what een goed, transparant en begrijpelijk verzoek aan Microsoft-afhankelijke klanten beter geweest?
Dat Microsoft hele vier maanden aan het probleem heeft gewerkt, tot het hoopte opgelost te zijn, laat een andere kant van het debacle zien. Microsoft kan of wil niet sneller grote veiligheidslekken oplossen die de bestaansgrond van bedrijven kunnen bedreigen.
Conclusie
Men kan Copilot uitschakelen. Dat zou voor veel gebruikers het beste zijn. Er zijn andere en vooral betere systemen die aanzienlijk veiliger en ook functioneler zijn.
Veel landen en staten gaan weg van Microsoft. Gemakkelijkheid staat velen in de weg. Maar er worden steeds meer die de structurale gevaar erkennen, dat uit cloud-producten van Microsoft voortkomt.
Tegenwoordig kunnen geweldige cloudproducten niet alleen in eigen land worden gekocht, maar ook worden ontwikkeld met veel minder inspanning dan voorheen. Vergeleken met drie jaar geleden kost het waarschijnlijk 10 keer minder moeite.
In de toekomst zullen er zeker geen beveiligingsproblemen meer zijn met Microsoft-producten. Dat beloof ik!
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
