Microsoft zwijgt over kwetsbaarheid in M365 Copilot
Microsoft heeft ervoor gekozen om klanten niet te informeren over een onlangs gepatchte kwetsbaarheid in zijn M365 Copilot-dienst. Het beveiligingslek stelde kwaadwillende medewerkers in staat om bedrijfsbestanden op te vragen en samen te vatten zonder dat deze activiteit werd vastgelegd in de interne auditlogs zo meldt The Register.
Zack Korman, CTO van het cybersecuritybedrijf Pistachio, heeft het probleem deze week aan de kaak gesteld in een blogpost. Volgens hem kon de beveiliging eenvoudig worden omzeild door Copilot te vragen een bestand te verwerken zonder een directe link naar het bestand te verstrekken. Deze methode liet geen sporen na in de bedrijfscontrolesystemen, wat risico's oplevert voor zowel de beveiliging als juridische compliance, zo meldt The Register.
Klanten niet op de hoogte gebracht
Korman meldde de kwetsbaarheid op 4 juli 2025 bij Microsoft, dat het probleem heeft opgelost en de bug classificeerde als "belangrijk". Ondanks de fix besloot Microsoft de klanten niet op de hoogte te brengen van de onvolledigheid van hun auditlogs.
Dit beleid sluit aan bij de recente praktijk van Microsoft en Google om alleen te rapporteren over 'kritieke' kwetsbaarheden in hun clouddiensten. Volgens Korman had het lek echter wel openbaar gemaakt moeten worden, omdat het zo eenvoudig te exploiteren was dat het "bijna per ongeluk kan gebeuren". Hij waarschuwt dat auditlogs van organisaties die Copilot vóór 18 augustus gebruikten, mogelijk incompleet zijn.
The Register heeft Microsoft om commentraar gevraagd alleen die werd niet beantwoord.
