Microsoft corrige una vulnerabilidad crítica de Copilot Studio que expone datos confidenciales

21 de agosto de 2024Lakshmanan encantadoSeguridad/vulnerabilidad del software

Investigadores de ciberseguridad han revelado una falla de seguridad crítica que afecta a Copilot Studio de Microsoft y que podría explotarse para acceder a información confidencial.

Registrada como CVE-2024-38206 (puntuación CVSS: 8,5), la vulnerabilidad se describió como un error de divulgación de información resultante de la falsificación de solicitudes del lado del servidor (SSRF) ataque.

«Un atacante autenticado puede eludir la protección de falsificación de solicitudes del lado del servidor (SSRF) en Microsoft Copilot Studio para revelar información confidencial a través de una red», Microsoft dicho en aviso publicado el 6 de agosto de 2024.

El gigante tecnológico también dijo que la vulnerabilidad se ha solucionado y no requiere ninguna acción por parte del cliente.

Evan Grant, un investigador de seguridad de Tenable a quien se le atribuye haber descubierto e informado la falla, dijo que explota la capacidad de Copilot para realizar solicitudes web externas.

«En combinación con una útil omisión de protección SSRF, utilizamos esta falla para acceder a la infraestructura interna de Microsoft para Copilot Studio, incluido el Servicio de metadatos de instancia (IMDS) y las instancias internas de Cosmos DB», dijo Grant. dicho.

En otras palabras, la técnica de ataque fue capaz de recolectar metadatos de instancia de un mensaje de chat de Copilot, usándolos para obtener tokens de acceso de identidad administrados, que luego podrían usarse para acceder a otros recursos internos, en particular para obtener acceso de lectura/escritura a un Cosmos. Instancia de base de datos.

La compañía de ciberseguridad también señaló que si bien el enfoque no permite el acceso a información entre inquilinos, la infraestructura que impulsa el servicio Copilot Studio se comparte entre los inquilinos, lo que podría afectar a varios clientes cuando tienen un alto acceso a la infraestructura interna de Microsoft.

Esta divulgación se produce cuando Tenable detalló dos vulnerabilidades de seguridad ahora parcheadas en el servicio Azure Health Bot de Microsoft (CVE-2024-38109, puntuación CVSS: 9.1), que, si se explotan, podrían permitir que un actor malicioso realice movimientos laterales dentro de los entornos y accesos de los clientes. datos sensibles del paciente.

También sigue a un anuncio de Microsoft de que requerirá que todos los clientes de Microsoft Azure tengan habilitada la autenticación multifactor (MFA) en sus cuentas a partir de octubre de 2024 como parte de su Secure Future Initiative (SFI).

“Se requerirá autenticación multifactor para iniciar sesión en Azure Portal, el centro de administración de Microsoft Entra y el centro de administración de Intune. Esta implementación se implementará gradualmente para todos los inquilinos en todo el mundo”, dijo Redmond. dicho.

“A partir de principios de 2025, comenzará la aplicación por fases de la autenticación de inicio de sesión multifactor para Azure CLI, Azure PowerShell, la aplicación móvil de Azure y las herramientas de infraestructura como código (IaC). »