2024-08-22
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
IT House는 8월 22일 기술 매체 darkreading이 어제(8월 21일) 블로그 게시물을 게시하여 Microsoft Copilot Studio에 민감한 클라우드 데이터를 유출할 수 있는 SSRF(서버 측 요청 위조) 보안 취약점이 있다고 보도했습니다.
Microsoft Copilot Studio 소개
IT Home은 다음과 같이 Microsoft의 공식 소개를 첨부합니다.
Copilot Studio는 자연어 또는 그래픽 인터페이스를 사용하여 어시스턴트를 생성하고 사용자 정의할 수 있는 엔드투엔드 대화형 AI 플랫폼입니다.
Copilot Studio를 사용하면 사용자는 내부 또는 외부 시나리오의 요구 사항을 충족하도록 쉽게 설계, 테스트 및 출시할 수 있습니다.
허점
연구원들은 Microsoft Copilot Studio 도구의 취약점을 악용하여 외부 HTTP 요청을 수행함으로써 클라우드 환경의 내부 서비스에 대한 민감한 정보에 액세스하고 잠재적으로 여러 테넌트에 영향을 미칠 수 있습니다.
Tenable의 연구원들은 챗봇 생성 도구에서 SSRF(서버측 요청 위조) 취약점을 발견했습니다. 이 취약점은 IMDS(Instance Metadata Service) 및 내부 Cosmos DB 인스턴스를 포함한 Microsoft 내부 인프라에 대한 액세스 권한을 얻기 위해 악용되었습니다.
Microsoft는 이 취약점과 관련된 보안 권고에 따라 이 취약점을 CVE-2024-38206으로 추적합니다. 인증된 공격자는 Microsoft Copilot Studio의 SSRF 보호를 우회하고 네트워크를 통해 민감한 클라우드 기반 정보를 유출할 수 있습니다.
