Copilot beschädigte Audit-Logs, aber Microsoft informiert Kunden nicht

(pistachioapp.com)

3 Punkte von GN⁺ 2025-08-21 | Noch keine Kommentare. | Auf WhatsApp teilen

Es wurde eine Schwachstelle in den Audit-Logs von Microsofts M365 Copilot entdeckt, durch die Dateizugriffe nicht protokolliert wurden
Wenn man Copilot einfach auffordert, auf eine bestimmte Weise zu arbeiten, ist Dateizugriff ohne Audit-Eintrag möglich, was zu Risiken durch Insider-Bedrohungen und Verstößen gegen gesetzliche Vorgaben führen kann
Ein Forscher meldete das Problem an das MSRC, doch Microsoft vergab entgegen der offiziellen Richtlinie keine CVE und informierte auch die Kunden nicht
Microsoft stufte die Schwachstelle nur als „Important“ ein und entschied, dass keine gesonderte Mitteilung nötig sei, da sie per automatischem Update behoben wurde
Das kann jedoch schwerwiegende Sicherheits- und Rechtsprobleme für Unternehmen verursachen, die in regulierten Branchen wie unter HIPAA auf Audit-Logs angewiesen sind, und Microsofts mangelnde Transparenz steht stark in der Kritik

Schwachstelle in Copilots Audit-Logs: Überblick und Auswirkungen

Bei Copilot, einem von Microsoft aktiv vorangetriebenen KI-Dienst, wurde ein Fehler entdeckt, durch den Dateizugriffe auf Grundlage von Benutzeranfragen nicht in den Audit-Logs erscheinen
Normalerweise sollte M365 Copilot beim Zusammenfassen einer Datei den Zugriff auf diese Datei im Audit-Log vermerken; das ist ein zentraler Bestandteil der Informationssicherheit in Organisationen
Wenn Copilot jedoch gebeten wird, in der Dateizusammenfassung keinen Link zur Datei aufzunehmen, wird der entsprechende Log-Eintrag überhaupt nicht erzeugt
- So könnte ein Mitarbeiter etwa vor seinem Ausscheiden mit Copilot eine große Zahl von Dateien einsehen und sie ohne Protokollspur abfließen lassen
Die Schwachstelle erfordert keinen gezielten Hack, sondern kann auch zufällig und auf natürliche Weise auftreten; der Autor des Blogbeitrags entdeckte sie bei internen Funktionstests
Auch Michael Bargury, CTO von Zenity, hatte die Schwachstelle bereits vor einem Jahr entdeckt und an Microsoft gemeldet, dennoch blieb sie bis zu diesem Hinweis lange unbeachtet

Microsoft stellt zwar offizielle Hinweise und Prozesse für Schwachstellenmeldungen bereit, hält sich im tatsächlichen Umgang damit jedoch nicht ordentlich daran
Nachdem der Autor das Problem an das MSRC gemeldet hatte, änderte sich Copilot unmittelbar, obwohl die Reproduktionsschritte noch nicht durchlaufen worden waren, was zu einer verwirrenden Situation führte
- Der Status der Meldung wurde geändert (Reproduktion → Entwicklung), doch es fehlte an klarer Kommunikation zu Fortschritt und Entscheidungsgrundlage
Zur Frage der Vergabe einer CVE wurde mitgeteilt, dass nur dann eine offizielle Kennung vergeben werde, wenn Kunden selbst Maßnahmen ergreifen müssten
- Das weicht jedoch von Microsofts bisheriger Richtlinie ab; die Schwachstelle wurde lediglich als „Important“ eingestuft und weder offengelegt noch gesondert bekannt gemacht
Insgesamt wurde die Nachverfolgung des Fortschritts nur oberflächlich sichtbar aktualisiert, ohne klaren Bezug zu tatsächlichen Maßnahmen, was aus Sicht des Meldenden ineffizient und intransparent war

Microsoft entschied, für diese Schwachstelle weder eine CVE zu vergeben noch die Kunden zu informieren
Da dieser Fehler auch leicht versehentlich auftreten kann, besteht die Möglichkeit, dass in realen Organisationen Audit-Logs über lange Zeit hinweg falsch aufgezeichnet wurden
Obwohl viele Organisationen, darunter auch Gesundheitseinrichtungen (z. B. im Rahmen von HIPAA), Audit-Logs für rechtliche und regulatorische Zwecke nutzen, informierte Microsoft die Nutzer nicht über die Auswirkungen
Audit-Logs werden in vielen Bereichen zentral eingesetzt, darunter Unternehmenssicherheit, Incident Response und rechtliche Beweisführung, doch Microsoft schwieg zu den relevanten Fakten
Dieser Umgang deutet darauf hin, dass auch andere potenzielle Sicherheitsprobleme ohne Offenlegung behandelt werden könnten, und wirft ernsthafte Fragen zur Vertrauenswürdigkeit des Unternehmens auf