nouvelles

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

IT House a rapporté le 22 août que le média technologique darkreading avait publié un article de blog hier (21 août), signalant que Microsoft Copilot Studio présentait une vulnérabilité de sécurité de falsification de requête côté serveur (SSRF) qui peut divulguer des données cloud sensibles.

Introduction à Microsoft Copilot Studio

IT Home joint l'introduction officielle de Microsoft comme suit :

Copilot Studio est une plateforme d'IA conversationnelle de bout en bout qui vous permet de créer et de personnaliser des assistants à l'aide d'un langage naturel ou d'interfaces graphiques.

Grâce à Copilot Studio, les utilisateurs peuvent facilement concevoir, tester et publier pour répondre aux besoins de scénarios internes ou externes.

failles

Les chercheurs ont exploité une vulnérabilité de l'outil Copilot Studio de Microsoft pour effectuer des requêtes HTTP externes, accédant ainsi à des informations sensibles sur les services internes dans l'environnement cloud et affectant potentiellement plusieurs locataires.

Les chercheurs de Tenable ont découvert une vulnérabilité de falsification de requêtes côté serveur (SSRF) dans un outil de création de chatbot, qu'ils ont exploité pour accéder à l'infrastructure interne de Microsoft, notamment au service de métadonnées d'instance (IMDS) et aux instances internes de Cosmos DB.

La vulnérabilité est suivie par Microsoft sous le numéro CVE-2024-38206. Selon l'avis de sécurité lié à la vulnérabilité, un attaquant authentifié peut contourner la protection SSRF dans Microsoft Copilot Studio et divulguer des informations sensibles basées sur le cloud sur le réseau.