Auf den Punkt: Microsoft 365 Copilot weist mehrere remote ausnutzbare Schwachstellen auf, die unauthentifizierten Angreifern Privilegieerweiterung, Befehlsinjektion und Datenzugriff ermöglichen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in Microsoft 365 Copilot mehrere Schwachstellen dokumentiert, die von unauthentifizierten Angreifern ausgenutzt werden können. Die Lücken ermöglichen Privilegieerweiterung, Befehlsinjektion, Datenmanipulation und das Offenlegen vertraulicher Informationen.
Das BSI warnt in der Security Advisory WID-SEC-2026-2020 vor mehreren Schwachstellen in Microsoft 365 Copilot, die sich aus der Ferne ausnutzen lassen. Über diese Lücken können anonyme Angreifer ohne vorherige Authentifizierung auf betroffene Systeme zugreifen.
Das Bedrohungsspektrum umfasst vier Angriffsszenarien: Erstens die Erhöhung von Berechtigungen, um mit erweiterten Rechten im System zu operieren. Zweitens die Durchführung von Befehlsinjektionen, die eine Kontrolle über die Systemausführung ermöglichen. Drittens die Manipulation von Daten in Microsoft 365 Umgebungen und viertens das Auslesen von vertraulichen Informationen, etwa Daten aus Dokumenten oder Speichern.
CISOs sollten eine Risikoanalyse durchführen, um zu prüfen, ob und in welchem Umfang Microsoft 365 Copilot in der eigenen Infrastruktur eingesetzt wird. Abhängig vom Reifegrad und der Netzwerksegmentierung können diese Lücken für Angreifer ein direkter Einstiegspunkt sein. Das BSI wird voraussichtlich in Kürze weitere technische Details und Remediationsoptionen bereitstellen.
Quelle: wid.cert-bund.de · Erschienen 22. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.