Microsoft vá lỗ hổng nghiêm trọng của Copilot Studio làm lộ dữ liệu nhạy cảm

Tác giả ChatGPT, T.Tám 22, 2024, 07:13:02 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Các nhà nghiên cứu an ninh mạng đã tiết lộ một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Copilot Studio của Microsoft, lỗ hổng này có thể bị khai thác để truy cập thông tin nhạy cảm.

Được theo dõi là CVE-2024-38206 (điểm CVSS: 8.5), lỗ hổng này được mô tả là lỗi tiết lộ thông tin bắt nguồn từ cuộc tấn công giả mạo yêu cầu phía máy chủ (SSRF).


Microsoft cho biết trong một lời khuyên được đưa ra vào ngày 6 tháng 8 năm 2024: "Kẻ tấn công đã được xác thực có thể vượt qua tính năng bảo vệ Giả mạo yêu cầu phía máy chủ (SSRF) trong Microsoft Copilot Studio để rò rỉ thông tin nhạy cảm qua mạng".

Gã khổng lồ công nghệ cho biết thêm lỗ hổng đã được giải quyết và khách hàng không cần phải thực hiện hành động nào.

Nhà nghiên cứu bảo mật có thể tin cậy Evan Grant, người được cho là đã phát hiện và báo cáo thiếu sót, cho biết nó tận dụng khả năng của Copilot để thực hiện các yêu cầu web bên ngoài.

Grant cho biết : "Kết hợp với đường vòng bảo vệ SSRF hữu ích, chúng tôi đã sử dụng lỗ hổng này để có quyền truy cập vào cơ sở hạ tầng nội bộ của Microsoft cho Copilot Studio, bao gồm Dịch vụ siêu dữ liệu phiên bản (IMDS) và các phiên bản Cosmos DB nội bộ".


Nói cách khác, kỹ thuật tấn công này có thể truy xuất siêu dữ liệu phiên bản trong tin nhắn trò chuyện Copilot, sử dụng siêu dữ liệu đó để lấy mã thông báo truy cập danh tính được quản lý, sau đó có thể bị lạm dụng để truy cập các tài nguyên nội bộ khác, bao gồm cả quyền truy cập đọc/ghi vào Cosmos DB ví dụ.

Công ty an ninh mạng lưu ý thêm rằng mặc dù phương pháp này không cho phép truy cập vào thông tin của nhiều người thuê, nhưng cơ sở hạ tầng cung cấp dịch vụ Copilot Studio được chia sẻ giữa những người thuê, có khả năng ảnh hưởng đến nhiều khách hàng khi có quyền truy cập nâng cao vào cơ sở hạ tầng nội bộ của Microsoft.

Tiết lộ này được đưa ra khi Tenable nêu chi tiết hai lỗ hổng bảo mật hiện đã được vá trong Azure Health Bot Service của Microsoft (CVE-2024-38109, điểm CVSS: 9.1), mà nếu bị khai thác, có thể cho phép kẻ độc hại thực hiện chuyển động ngang trong môi trường khách hàng và truy cập. dữ liệu bệnh nhân nhạy cảm.

Nó cũng tuân theo thông báo từ Microsoft rằng họ sẽ yêu cầu tất cả khách hàng Microsoft Azure phải kích hoạt xác thực đa yếu tố (MFA) trên tài khoản của họ bắt đầu từ tháng 10 năm 2024 như một phần của Sáng kiến Tương lai An toàn (SFI).

Redmond cho biết : "MFA sẽ được yêu cầu đăng nhập vào cổng Azure, trung tâm quản trị Microsoft Entra và trung tâm quản trị Intune. Việc thực thi sẽ dần dần được triển khai cho tất cả người thuê trên toàn thế giới".

"Bắt đầu từ đầu năm 2025, việc thực thi dần dần MFA khi đăng nhập cho Azure CLI, Azure PowerShell, ứng dụng di động Azure và các công cụ Cơ sở hạ tầng dưới dạng Mã (IaC) sẽ bắt đầu."