maj 16, 2026 eBuilder ingår avtal kring SOC/MDR med en TechHub.
maj 11, 2026 eBuilder ingår avtal kring SOC/MDR och automatiserade pentester med ett förlag.
maj 8, 2026 eBuilder ingår avtal kring pentester med ett världsledande petrokemisk producent.
april 8, 2026 eBuilder skriver avtal kring MDR/SOC med en hotellkedja.
mars 13, 2026 eBuilder skriver avtal om SOC-tjänst med mellansvensk kommun.
mars 2, 2026 Stort internationellt stålföretag väljer eBuilders Complorer för cybersäkerhetsutbildning.
mars 2, 2026 Stort internationellt stålföretag väljer eBuilder som leverantör för Penetrationstestning.
mars 2, 2026 En kommunikations-/brandingbyrå väljer eBuilders Complorer för cybersäkerhetsutbildning.
Company News
mobile-menu-icon
Sårbarheter

Zero-click-sårbarhet i Microsoft 365 Copilot läckte känsliga data via e-post

Blog Reading Time 5 Lästid / maj 13, 2026

Microsoft 365 Copilot innehöll en kritisk zero-click-sårbarhet som gjorde det möjligt för angripare kunde stjäla känsliga företagsdata genom att enbart skicka ett skadligt e-postmeddelande. Sårbarheten, som upptäcktes av forskare på Aim Security och fick namnet ”EchoLeak”, krävde ingen användarinteraktion alls – AI-assistenten läckte konfidentiell information automatiskt när den bearbetade visst e-postinnehåll.

Microsoft åtgärdade sårbarheten, CVE-2025-32711, på serversidan i maj 2025. Företaget utfärdade ingen traditionell säkerhetsrådgivning och krävde inga åtgärder från kunderna, utan genomförde korrigeringen direkt i molntjänstens backend. Det finns inga kända fall där sårbarheten har utnyttjats i verkliga attacker, men tekniken bakom angreppet bedöms som mycket avancerad.

Forskarna hos Aim Labs lyckades kombiner flera olika kringgåenden för att uppnå det de beskriver som en ”LLM Scope Violation” – alltså att lura AI-sytemet att bryta sin egna förtroendebarriärer och få åtkomst till information som det egentligen inte borde kunna få.

oenighet kring CVSS-betyget

Sårbarhetens allvarlighetsgrad varierar beroende på käkka. Vissa säkerhetsföretag uppger ett CVSS-betyg på 9,3, medan National Institute of Standards and Technology (NIST) listar samma sårbarheter med betyget 7,5 i Natinal Vulnerability Database.

Båda bedömningarna gäller samma CVE-nummer, CVE-2025-32711, men skillnaden illustrerar ett återkommande problem med hur CVSS-poäng tolkas och tillämpas av olika aktörer.

Betyget 9,3 verkar komma från leverantörsnära källor, medan NIST:s lägre poäng på 7,5 sannolikt bygger på en mer konservativ bedömning av kraven kring användarinteraktion. Eftersom EchoLeak förutsätter att organisationen aktivt använder Copilot och låter andra AI-systemet bearbeta extern e-postinnehåll, kan NIST:s bedömning vara mer rimlig.

Angreppet använde naturligt språk, inte kod

EchoLeak utnyttjade hur Copilot hanterar kontextuell data när den hjälper användare med uppgifter. Forskarna bäddade in skadliga prompt-instruktioner i vanliga affärsdokument med hjälp av osynlig text – HTML-kommentarer eller vit-på-vit-formatering som användarna inte kunde se men som ändå lästes av Copilots motor.

Payloaden var ren text, inte körbar kod. När en användare senare ställde en legitim fråga till Copilot, exempelvis om senaste e-postmeddelanden eller dokument, skulle AI:ns hämtningssystem dra in det tidigare skadliga innehållet i kontexten och behandla de dolda instruktionerna som en del av den aktuella förfrågan.

Resultatet blev att Copilot kunde sammanfatta känslig information och skicka den vidare till angriparkontrollerade servrar via automatiskt laddade bilder – helt utan att användaren märkte något.

Enligt forskningen som publicerats av Aim Labs kunde angripare dessutom kombinera tekniken med så kallad ”RAG spraying” , där skadlig promt injiceras i flera dokument samtidigt för att öka sannolikheten att något av dem hämtas i en framtida Copilot-session.

Traditionella säkerhetslösningar gav inget skydd

Angreppet kringgick flera lager av Microsofts befintliga säkerhetskontroller. Det undvek företagets XPIA-klassificerare (Cross Prompt Injection Attempt) genom specifika fraseringstekniker. Det kringgick Copilotos länkredigeringsmekanismer genom att använda referensstil Markdown-formatering. Viktigast av allt utnyttjade det Microsofts egen content security policy genom att använda Teams proxy-domäner som automatiskt betroddes av systemet.

Konventionella säkerhetsverktyg erbjöd inget skydd eftersom den skadliga payloaden inte innehöll några signaturer, filbilagor eller körbar kod som antivirus eller nätverksövervakning kunde upptäcka. Angreppet utfördes helt inom det naturliga språkbehandlingsutrymmet, vilket gjorde det osynligt för traditionella hotdetekteringssystem.

Microsofts serversidefix begränsar Copilotos förmåga att följa dolda motståndarprompts inbäddade i filer, även om företaget inte har publicerat tekniska detaljer om exakt vad som ändrades.

Tre åtgärder för Copilot-användare

Microsofts serversidepatch är redan applicerad i Microsoft 365-miljöer, så ingen kundåtgärd krävs för att åtgärda den specifika EchoLeak-sårbarheten. Organisationer bör dock överväga ytterligare steg för att minska exponeringen för liknande AI-riktade angrepp.

Granska vilka användare som har Copilot-åtkomst och överväg att begränsa den i högkänsliga arbetsflöden som ledningskommunikation eller juridiska dokumentgranskningar. Inaktivera extern e-postkontext i Copilot-inställningarna om din organisation inte behöver att AI:n refererar till e-postmeddelanden från externa kontakter. Använd dokumentsaneringsverktyg för att ta bort dold text, talaranteckningar och metadata från filer innan du delar dem brett.

Den bredare lärdomen från EchoLeak är att AI-assistenter skapar nya angreppsytor som befintliga säkerhetskontroller inte var designade för att hantera. När dessa system blir mer djupt integrerade i affärsarbetsflöden behöver organisationer tänka om sitt tillvägagångssätt för dataförlustprevention och insiderhot-övervakning för att ta hänsyn till AI-medierade dataåtkomstmönster.

Referenser

  1. Microsoft Security Response Center – CVE-2025-32711
  2. NIST National Vulnerability Database – CVE-2025-32711
  3. Preventing Zero-Click AI Threats: Insights from EchoLeak
  4. EchoLeak: The First Real-World Zero-Click Prompt Injection Exploit
  5. Inside CVE-2025-32711: Prompt injection meets AI exfiltration

This post is also available in: English

Related News

Fortinet and Ivanti Close Critical Security Holes. Two Still Await AI-Driven Discovery

Fortinet och Ivanti täpper kritiska säkerhetshål: AI hittar två nya

Cyber News Calendar icon maj 14, 2026
Single Git Push Could Have Compromised Millions of GitHub Repositories

Ett enda git push kunde kompromettera miljontals GitHub-repositorier

Cyber News Calendar icon april 30, 2026
Microsoft Defender Targeted by Three Zero-Days, Two Remain Unpatched

Microsoft Defender drabbat av tre zero-days – två fortfarande opatchade

Cyber News Calendar icon april 24, 2026
Adobe Reader Zero-Day Exploited for Weeks Before Patch Existed

Adobe Reader zero-day utnyttjad i fyra månader före patch

Cyber News Calendar icon april 9, 2026
BlueHammer Windows Zero-Day Exploited Six Weeks Before Microsoft Knew

BlueHammer Windows zero-day utnyttjad sex veckor innan Microsoft visste

Cyber News Calendar icon april 9, 2026

Ta nästa steg - säkra er verksamhet

Säkerställ att ert företag är skyddat mot cyberhot. Kontakta oss så berättar vi mer.

Kontakta oss