Thought Leadership
Sicherheitsforscher von Varonis haben eine schwerwiegende Schwachstelle in Microsoft Copilot aufgedeckt. Die Angriffsmethode “Reprompt” ermöglichte es, über einen einzigen Klick unbemerkt auf sensible Nutzerdaten zuzugreifen.
Das Sicherheitsunternehmen Varonis hat Details zu einer Angriffsmethode namens “Reprompt” veröffentlicht, die gezielt die Verbraucherversion von Microsofts KI-Assistenten ausnutzte. Der Angriffsvektor erforderte lediglich einen Klick auf einen präparierten Link, etwa in einer Phishing-Mail. Die Lücke ist aber inzwischen geschlossen.
Automatische Prompt-Ausführung als Schwachstelle
Die Attacke basierte auf einer geschickten Manipulation des URL-Parameters ‘q’. Dieser löste beim Öffnen der Copilot-Webseite automatisch einen Befehl aus, ohne dass der Nutzer weitere Aktionen vornehmen musste. Da die Angreifer die bereits authentifizierte Sitzung des Opfers nutzen konnten, war ein Zugriff auf verschiedene persönliche Informationen möglich, darunter Benutzernamen, Standortdaten, Dateizugriffe und gespeicherte Konversationen.
Varonis beschreibt drei zentrale Techniken, mit denen sich Copilots Sicherheitsmechanismen umgehen ließen. Die “Parameter-to-Prompt”-Injection (P2P) schleuste Anweisungen über URL-Parameter ein. Die “Double-Request”-Methode nutzte aus, dass Schutzmechanismen nur bei der ersten Anfrage aktiv waren. Beim zweiten Versuch gelang dann die Datenexfiltration. Mit “Chain-Request” konnten Angreifer mehrstufige Abfragen aufbauen, bei denen jeder Schritt auf den vorherigen aufbaute.
In einem hypothetischen Angriffsszenario könnte ein Angreifer das Opfer dazu bringen, auf einen scheinbar legitimen Copilot-Link zu klicken. Dies löst eine Kette von Aktionen aus: Copilot führt zunächst die über den “q”-Parameter eingeschleusten Befehle aus, woraufhin der Angreifer den Chatbot erneut anweisen kann, weitere Informationen abzurufen und zu übermitteln.
Unternehmenskunden nicht betroffen
Die Schwachstelle betraf ausschließlich Copilot Personal, das in Windows und Microsoft Edge für Privatnutzer integriert ist. Unternehmen, die Microsoft 365 Copilot einsetzen, waren dank zusätzlicher Sicherheitsfunktionen wie Purview-Auditing und Data Loss Prevention nicht gefährdet. Hinweise auf aktive Ausnutzung der Lücke gibt es nach Angaben von Varonis nicht.
Patch seit Januar verfügbar
Varonis informierte Microsoft am 31. August 2025 über die Schwachstelle. Der Software-Konzern stellte am 13. Januar 2026 im Rahmen des monatlichen Patch Tuesday eine Korrektur bereit. Nutzer sollten zeitnah die verfügbaren Windows-Updates installieren.
