berita

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

IT House melaporkan pada 22 Agustus bahwa media teknologi darkreading menerbitkan postingan blog kemarin (21 Agustus), melaporkan bahwa Microsoft Copilot Studio memiliki kerentanan keamanan pemalsuan permintaan sisi server (SSRF) yang dapat membocorkan data cloud sensitif.

Pengantar Microsoft Copilot Studio

IT Home melampirkan pengantar resmi dari Microsoft sebagai berikut:

Copilot Studio adalah platform AI percakapan ujung ke ujung yang memungkinkan Anda membuat dan menyesuaikan asisten menggunakan bahasa alami atau antarmuka grafis.

Dengan menggunakan Copilot Studio, pengguna dapat dengan mudah merancang, menguji, dan merilis untuk memenuhi kebutuhan skenario internal atau eksternal.

celah

Para peneliti mengeksploitasi kerentanan pada alat Copilot Studio Microsoft untuk membuat permintaan HTTP eksternal, sehingga mengakses informasi sensitif tentang layanan internal di lingkungan cloud dan berpotensi berdampak pada banyak penyewa.

Para peneliti di Tenable menemukan kerentanan pemalsuan permintaan sisi server (SSRF) dalam alat pembuatan chatbot, yang mereka eksploitasi untuk mendapatkan akses ke infrastruktur internal Microsoft, termasuk Instance Metadata Service (IMDS) dan instans DB Cosmos internal.

Kerentanan dilacak oleh Microsoft sebagai CVE-2024-38206. Menurut penasihat keamanan terkait kerentanan tersebut, penyerang yang terautentikasi dapat melewati perlindungan SSRF di Microsoft Copilot Studio dan membocorkan informasi sensitif berbasis cloud melalui jaringan.