uutiset

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

IT House raportoi 22. elokuuta, että teknologiamedian darkreading julkaisi eilen (21. elokuuta) blogikirjoituksen, jossa kerrottiin, että Microsoft Copilot Studiossa on palvelinpuolen pyyntöväärennös (SSRF) -tietoturvahaavoittuvuus, joka voi vuotaa arkaluonteisia pilvitietoja.

Microsoft Copilot Studion esittely

IT Home liittää Microsoftin virallisen esittelyn seuraavasti:

Copilot Studio on päästä päähän keskustelullinen AI-alusta, jonka avulla voit luoda ja mukauttaa avustajia luonnollisen kielen tai graafisten käyttöliittymien avulla.

Copilot Studion avulla käyttäjät voivat helposti suunnitella, testata ja julkaista vastaamaan sisäisten tai ulkoisten skenaarioiden tarpeisiin.

porsaanreikiä

Tutkijat käyttivät Microsoftin Copilot Studio -työkalun haavoittuvuutta tehdäkseen ulkoisia HTTP-pyyntöjä, jolloin he pääsivät arkaluontoisiin tietoihin pilviympäristön sisäisistä palveluista ja voivat vaikuttaa useisiin vuokralaisiin.

Tenablen tutkijat löysivät palvelinpuolen pyyntöväärennösten (SSRF) haavoittuvuuden chatbotin luontityökalusta, jota he käyttivät hyväkseen päästäkseen Microsoftin sisäiseen infrastruktuuriin, mukaan lukien Instance Metadata Service (IMDS) ja sisäiset Cosmos DB -esiintymät.

Microsoft jäljittää haavoittuvuutta nimellä CVE-2024-38206 Haavoittuvuuteen liittyvän tietoturvailmoituksen mukaan todennettu hyökkääjä voi ohittaa SSRF-suojauksen Microsoft Copilot Studiossa ja vuotaa arkaluonteisia pilvipohjaisia ​​tietoja verkon kautta.