Eye Security: 'kwetsbaarheid in Copilot Enterprise'
Een recent ontdekt lek in Microsoft Copilot Enterprise laat zien hoe kwetsbaar AI-integraties kunnen zijn als sandboxing niet waterdicht is. Eye Security onthulde hoe via een Jupyter Notebook tóch code kon worden uitgevoerd op systeemniveau. Het is een scenario dat vragen oproept over de beveiliging van AI-tools binnen enterprise-omgevingen.
Eye Security ontdekte een kwetsbaarheid in Microsoft Copilot Enterprise. Na een uitgestelde update in april 2025 kon een Jupyter Notebook-omgeving met verhoogde rechten kon worden misbruikt. Hierdoor werd het mogelijk om via een sandbox tóch code uit te voeren op het onderliggende systeem, terwijl dat normaal gesproken door strikte isolatie moet worden voorkomen.
De aanvalstechniek draaide om het uitvoeren van het pgrep-commando binnen de container, waarmee processen met verhoogde rechten konden worden benaderd. Hoewel het verkrijgen van root-toegang binnen de container uiteindelijk weinig extra schadepotentieel opleverde, toont de bevinding hoe relatief kleine configuratiefouten grote implicaties kunnen hebben, zeker in omgevingen waarin AI-tools direct met gebruikers interacteren.
Microsoft verholp de kwetsbaarheid op 25 juli 2025, ruim drie maanden na de initiële melding. De ernst van het lek werd door Microsoft als ‘gemiddeld’ geclassificeerd, waardoor het niet in aanmerking kwam voor een bug bounty.
Waarom deze kwetsbaarheid in Copilot Enterprise aandacht verdient
Hoewel het hier geen grootschalige escalatie betrof, raakt deze ontdekking aan een kernpunt binnen moderne AI-beveiliging: het vertrouwen op virtuele sandboxing in een context waarin AI-tools zoals Copilot toegang hebben tot gebruikersdata, workflows en mogelijk ook gevoelige code.
De bevinding onderstreept het belang van het hardening van containeromgevingen waarin AI-systemen draaien. Zeker wanneer gebruikers prompts of scripts kunnen uitvoeren met impliciete rechten – een scenario dat zich bij Copilot Enterprise manifesteert doordat ontwikkelaars met codefragmenten werken in een gecontaineriseerde context.
Lessen voor organisaties en IT-beheerders
De casus onderstreept het belang van:
- Strikte containerisolatie, vooral in AI-gedreven ontwikkelomgevingen;
- Monitoring op rechten en systeeminteractie, ook binnen sandboxed applicaties;
- Vertrouwen op externe partijen, zoals Microsoft, betekent niet dat interne controle overbodig is.
Zeker voor organisaties die Copilot Enterprise of vergelijkbare AI-assistenten integreren in hun ontwikkelomgeving, vormt deze ontdekking een signaal om de onderliggende infrastructuur kritisch te herzien – en configuraties niet te beschouwen als ‘by default veilig’.
Volledige presentatie op BlackHat USA 2025
Eye Security presenteert hun bevindingen in detail op BlackHat USA 2025, tijdens een sessie op donderdag 7 augustus om 13:30 uur. Naast de sandboxkwetsbaarheid onthult het team ook een tweede ontdekking: ongeautoriseerde toegang tot het Responsible AI Operations-paneel van Microsoft via misbruik van Entra OAuth-mechanismen.
De presentatie draagt de titel 'Consent & Compromise: Abusing Entra OAuth for Fun and Access to Internal Microsoft Applications' en belooft nieuwe inzichten in de manier waarop authenticatie en AI-operaties elkaar beïnvloeden binnen grote cloudomgevingen.
Lees meer
