Die Schwachstelle betrifft M365 Copilot, den KI-Assistenten innerhalb der Microsoft-365-Umgebung. Der Kern des Problems ist eine fehlende Authentifizierung für eine kritische Funktion: An einer Stelle, die eigentlich eine Anmeldung oder Berechtigungsprüfung voraussetzen müsste, findet keine solche Kontrolle statt. Dadurch kann ein nicht angemeldeter Angreifer diese Funktion über das Netzwerk ansprechen, ohne sich vorher ausweisen zu müssen. Auf diesem Weg gelangt er an Informationen, die ihm eigentlich nicht zugänglich sein sollten – es handelt sich also um eine unbefugte Offenlegung von Daten. Der Angriff erfolgt aus der Ferne über das Netzwerk und setzt weder gültige Zugangsdaten noch eine Mitwirkung eines legitimen Nutzers voraus, was den fehlenden Schutz der betroffenen Funktion besonders bedeutsam macht.