Microsoft Copilot Studio осалдығы

Жақында Microsoft Copilot Studio-да компанияның ішкі қауіпсіздігіне қауіп төндіретін ауыр осалдық табылғаны белгілі болды. SSRF (server-side request forgery) деп аталатын бұл осалдық, қаскүнемдерге конфиденциалды деректерге қол жеткізуге мүмкіндік берді. Tenable компаниясының зерттеушілері Copilot Studio-да пайдаланушыларға HTTP-сұраулар жіберуге мүмкіндік беретін функция бар екенін байқады.

Олар бұл функцияны тестілеуге шешім қабылдап, сұрауларда кішкене өзгерістер енгізу арқылы SSRF-дан қорғануды айналып өтуге қол жеткізді. Бұл оларға сұрауларды өз серверлеріне бағыттап, ішкі деректерге қол жеткізуге мүмкіндік берді. Алғашқыда алынған ақпарат конфиденциалды болмағанымен, зерттеушілер қол жеткізу токендерін шығарып алуға мүмкіндік алды, бұл мәселенің ауырлығын көрсетеді.

Соңында олар Azure жазылымдарына қол жеткізіп, Copilot арқылы қол жеткізген Cosmos DB экземплярын анықтады. CVE-2024-38206 деп аталатын бұл осалдық CVSS шкаласы бойынша 8.5 баллмен критикалық деп бағаланды. Осалдық табылғаннан кейін Tenable Microsoft-қа хабарлады, ол мәселені тез арада түзетіп, пайдаланушыларға түзетуді алу үшін ешқандай әрекет жасау қажет емес екенін растады.

Деректеріңізді осындай қауіптерден қорғау үшін жаңартуларды бақылап, бағдарламалық қамтамасыз етудің соңғы нұсқаларын пайдаланғаныңыз маңызды.