Kritische Sicherheitslücken in Microsoft 365 Copilot gefährden sensible Daten

Microsoft hat alle drei Mängel intern vollständig behoben, wie es dem Programm „Toward Greater Transparency: Unveiling Cloud Service CVEs" entspricht. Microsoft 365 Copilot-Schwachstellen: CVE-2026-26129 betrifft den Business Chat 365 Copilot.

Die Schwachstelle resultiert aus einer unzureichenden Neutralisierung spezieller Elemente in einer Ausgabe, die wird und potenziell einem unbefugten Angreifer die Offenlegung sensibler Informationen über ein Netzwerk ermöglicht.

Obwohl für diese CVE keine vollständigen CVSS-Metriken veröffentlicht wurden, spiegelt das Label „kritisch" das hohe Vertraulichkeitsrisiko wider, das in den unternehmensweiten Datenzugriffsmodell ärent ist. CVE-2026-26164 betrifft zudem M365 Copilot und wird unter CWE-74 (Unzureichende Neutralisierung spezieller Elemente in einer Ausgabe, die wird – Injection) klassifiziert.

Moegliche Anwendungen

Der Angriffsvektor ist netzwerkbasiert, erfordert keine Berechtigungen oder Benutzerinteraktion und hat eine hohe Auswirkung auf die Vertraulichkeit. Die Einschätzung der Ausnutzbarkeit lautet „Ausnutzung unwahrscheinlich", und die Reife des Ausnutzungscodes wird als unbewiesen angegeben.

CVE-2026-33111 betrifft Copilot Chat, der in Microsoft Edge integriert ist, und wird unter CWE-77 (Unzureichende Neutralisierung spezieller Elemente, die in einem Befehl verwendet werden – Befehlsinjektion) klassifiziert.

Es weist denselben CVSS-Score von 7,5 (6,5 temporal) wie CVE-2026-26164 auf und verfügt über ein identisches Angriffsprofil: netzwerkzugänglich, keine Berechtigungen erforderlich, keine Benutzerinteraktion und hoher Vertraulichkeitsauswirkungsgrad.

Dies ist besonders besorgniserregend angesichts der

Dies ist besonders besorgniserregend angesichts der weit verbreiteten Einführung drei Schwachstellen verdeutlichen eine wachsende Angriffsfläche, die spezifisch für KI-gestützte Produktivitätswerkzeuge ist.

Da M365 Copilot enorme Mengen organisatorischer Daten aggregiert und verarbeitet – darunter E-Mails, Dokumente und Teams-Unterhaltungen – können Schwachstellen in der Verarbeitung spezieller Elemente oder injizierter Befehle dazu führen, dass sensible Informationen über Vertrauengrenzen hinaus gelangen.

In Umgebungen, in denen Copilot breiten Zugriff auf unternehmensinterne Datenquellen hat, können die Auswirkungen die Offenlegung, vertraulicher Kommunikation oder eingeschränkter interner Aufzeichnungen umfassen. Microsoft würdigt Estevam Arantes für die Entdeckung sowohl 2026-26129 als auch 2026-26164, wobei dem unabhängigen Forscher 0xSombra zusätzliche Anerkennung für CVE-2026-26164 zuteilwird.

Für CVE-2026-33111 wurde keine Anerkennung verzeichnet.

Für CVE-2026-33111 wurde keine Anerkennung verzeichnet. Microsoft bestätigte, dass keine der drei Schwachstellen vor der Veröffentlichung öffentlich bekanntgegeben oder aktiv ausgenutzt wurde. Da alle drei Schwachstellen auf der Cloud-Seite liegen, hat Microsoft bereits Abwehrmaßnahmen auf der Dienstebene implementiert. Unternehmen müssen keine Patches installieren oder Konfigurationsänderungen vornehmen.

Sicherheits-Teams werden jedoch empfohlen, die Datenzugriffsrechte überprüfen und das Prinzip der geringsten Rechte durchzusetzen, um das Risiko durch zukünftige ähnliche Mängel zu verringern. Cyberkriminalität dringt nun über Ihre Lieferanten statt durch Ihre Haustür ein – Kostenloser Webinar.

Der Beitrag „Kritische Microsoft 365 Copilot-Schwachstellen gefährden vertrauliche Informationen" erschien erstmals auf Cyber Security News.