Kritiek zero-daylek in Microsoft 365 Copilot gedicht
Microsoft heeft een kritische kwetsbaarheid ontdekt en direct verholpen in zijn AI-assistent Microsoft 365 Copilot. Het lek, geregistreerd onder het kenmerk CVE-2026-42824, maakte het mogelijk voor kwaadwillenden om op afstand gevoelige bedrijfsinformatie buit te maken. Omdat het hier gaat om een cloudgebaseerde dienst, heeft Microsoft de kwetsbaarheid al volledig aan de achterkant opgelost. Klanten hoeven zelf geen updates te installeren.
De kwetsbaarheid werd ontdekt door security-onderzoeker Dolev Taler van het beveiligingsbedrijf Varonis en is door Microsoft geclassificeerd als een risico met een potentieel 'kritieke' impact. Technisch gezien is er sprake van een zogeheten Command Injection-kwetsbaarheid (CWE-77). Dit houdt in dat speciale elementen of opdrachten die via het netwerk naar de AI-assistent werden gestuurd, niet correct werden geneutraliseerd. Hierdoor kon de applicatie onbedoeld gevoelige gegevens prijsgeven.
Aanval via het netwerk, gebruikersinteractie vereist
Uit de gepubliceerde CVSS-metriek (versie 3.1) komt naar voren dat de aanvalsvector via het netwerk verloopt en de technische complexiteit om het lek te misbruiken laag is. Een aanvaller had bovendien vooraf geen speciale gebruikersrechten of privileges binnen de Microsoft-omgeving nodig.
Er zit echter een belangrijke drempel in het misbruikscenario: gebruikersinteractie was vereist (User Interaction: Required). Dit betekent dat een kwaadwillende een legitieme gebruiker op de een of andere manier moest verleiden tot een specifieke handeling – bijvoorbeeld het invoeren van een gemanipuleerde prompt of het openen van een malafide document – om de informatie-onthulling te activeren. De impact op de vertrouwelijkheid van data is door Microsoft als 'hoog' ingeschaald, terwijl de integriteit en de beschikbaarheid van de systemen niet in gevaar zijn geweest.
Volledige transparantie over cloudlekken
De publicatie van de CVE is opmerkelijk omdat IT-beheerders geen actie hoeven te ondernemen. Microsoft benadrukt dat het publiceren van dit soort cloud-kwetsbaarheden puur dient ter transparantie naar de markt. Omdat M365 Copilot volledig als een clouddienst (SaaS) draait, heeft de techgigant het lek centraal in de eigen datacenters gedicht.
Er zijn tot op heden geen aanwijzingen dat de kwetsbaarheid publiekelijk bekend was vóór de ontdekking, of dat er daadwerkelijk misbruik van is gemaakt in het wild. De status van eventuele exploit-code staat momenteel dan ook op 'onbewezen'.
Meer over Security
Over Witold Kepinski
