νέα

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Το IT House ανέφερε στις 22 Αυγούστου ότι το τεχνολογικό darkreading δημοσίευσε μια ανάρτηση ιστολογίου χθες (21 Αυγούστου), αναφέροντας ότι το Microsoft Copilot Studio έχει ευπάθεια ασφαλείας για πλαστογράφηση αιτημάτων από την πλευρά του διακομιστή (SSRF) που μπορεί να διαρρεύσει ευαίσθητα δεδομένα cloud.

Εισαγωγή στο Microsoft Copilot Studio

Το IT Home επισυνάπτει την επίσημη εισαγωγή από τη Microsoft ως εξής:

Το Copilot Studio είναι μια πλατφόρμα συνομιλίας AI από άκρο σε άκρο που σας επιτρέπει να δημιουργείτε και να προσαρμόζετε βοηθούς χρησιμοποιώντας φυσική γλώσσα ή γραφικές διεπαφές.

Χρησιμοποιώντας το Copilot Studio, οι χρήστες μπορούν εύκολα να σχεδιάσουν, να δοκιμάσουν και να απελευθερώσουν για να καλύψουν τις ανάγκες εσωτερικών ή εξωτερικών σεναρίων.

πολεμίστρες

Οι ερευνητές εκμεταλλεύτηκαν μια ευπάθεια στο εργαλείο Copilot Studio της Microsoft για να υποβάλουν εξωτερικά αιτήματα HTTP, αποκτώντας έτσι πρόσβαση σε ευαίσθητες πληροφορίες σχετικά με εσωτερικές υπηρεσίες στο περιβάλλον cloud και δυνητικά επηρεάζοντας πολλούς ενοικιαστές.

Ερευνητές στο Tenable ανακάλυψαν μια ευπάθεια πλαστογράφησης αιτημάτων από την πλευρά του διακομιστή (SSRF) σε ένα εργαλείο δημιουργίας chatbot, το οποίο εκμεταλλεύτηκαν για να αποκτήσουν πρόσβαση στην εσωτερική υποδομή της Microsoft, συμπεριλαμβανομένης της υπηρεσίας μεταδεδομένων Instance (IMDS) και εσωτερικών παρουσιών Cosmos DB.

Η ευπάθεια παρακολουθείται από τη Microsoft ως CVE-2024-38206 Σύμφωνα με τις συμβουλές ασφαλείας που σχετίζονται με την ευπάθεια, ένας ελεγμένος εισβολέας μπορεί να παρακάμψει την προστασία SSRF στο Microsoft Copilot Studio και να διαρρεύσει ευαίσθητες πληροφορίες που βασίζονται σε σύννεφο.