2024-08-22
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
IT House berichtete am 22. August, dass Technology Media Darkreading gestern (21. August) einen Blog-Beitrag veröffentlicht habe, in dem berichtet werde, dass Microsoft Copilot Studio eine Sicherheitslücke im Bereich Server-Side Request Forgery (SSRF) habe, durch die vertrauliche Cloud-Daten preisgegeben werden könnten.
Einführung in Microsoft Copilot Studio
IT Home fügt die offizielle Einführung von Microsoft wie folgt bei:
Copilot Studio ist eine End-to-End-Konversations-KI-Plattform, mit der Sie Assistenten mithilfe natürlicher Sprache oder grafischer Schnittstellen erstellen und anpassen können.
Mit Copilot Studio können Benutzer ganz einfach entwerfen, testen und veröffentlichen, um den Anforderungen interner oder externer Szenarien gerecht zu werden.
Schlupflöcher
Forscher nutzten eine Schwachstelle im Copilot Studio-Tool von Microsoft aus, um externe HTTP-Anfragen zu stellen und so auf vertrauliche Informationen über interne Dienste in der Cloud-Umgebung zuzugreifen und möglicherweise mehrere Mandanten zu beeinträchtigen.
Forscher von Tenable entdeckten eine SSRF-Schwachstelle (Server-Side Request Forgery) in einem Chatbot-Erstellungstool, die sie ausnutzten, um Zugriff auf die interne Infrastruktur von Microsoft zu erhalten, einschließlich des Instance Metadata Service (IMDS) und interner Cosmos DB-Instanzen.
Die Sicherheitsanfälligkeit wird von Microsoft als CVE-2024-38206 verfolgt. Laut Sicherheitshinweis zu der Sicherheitsanfälligkeit kann ein authentifizierter Angreifer den SSRF-Schutz in Microsoft Copilot Studio umgehen und vertrauliche cloudbasierte Informationen über das Netzwerk preisgeben.
Sammeln und organisieren Sie die neuesten Nachrichteninformationen und stellen Sie sie für alle kostenlos zur Verfügung.
