私の連絡先情報
郵便管理者@information.bz
2024-08-22
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
IT House は 8 月 22 日、テクノロジー メディアの darkreading が昨日 (8 月 21 日) ブログ投稿を公開し、Microsoft Copilot Studio にサーバー側のリクエスト フォージェリ (SSRF) セキュリティの脆弱性があり、クラウドの機密データが漏洩する可能性があると報告したと報告しました。
Microsoft Copilot Studio の概要
IT Home では、Microsoft からの公式紹介文を次のように添付しています。
Copilot Studio は、自然言語またはグラフィカル インターフェイスを使用してアシスタントを作成およびカスタマイズできるエンドツーエンドの会話型 AI プラットフォームです。
Copilot Studio を使用すると、ユーザーは内部または外部のシナリオのニーズを満たすように簡単に設計、テスト、リリースできます。
抜け穴
研究者らは、Microsoft の Copilot Studio ツールの脆弱性を悪用して外部 HTTP リクエストを作成し、それによってクラウド環境の内部サービスに関する機密情報にアクセスし、複数のテナントに影響を与える可能性がありました。
Tenable の研究者は、チャットボット作成ツールにサーバー側リクエスト フォージェリ (SSRF) の脆弱性を発見しました。この脆弱性を悪用して、インスタンス メタデータ サービス (IMDS) や内部 Cosmos DB インスタンスを含む Microsoft の内部インフラストラクチャにアクセスしました。
この脆弱性は Microsoft によって CVE-2024-38206 として追跡されており、この脆弱性に関連するセキュリティ アドバイザリによると、認証された攻撃者が Microsoft Copilot Studio の SSRF 保護をバイパスし、クラウドベースの機密情報をネットワーク上に漏洩する可能性があります。