notícias

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

A IT House informou em 22 de agosto que a mídia tecnológica darkreading publicou uma postagem no blog ontem (21 de agosto), relatando que o Microsoft Copilot Studio tem uma vulnerabilidade de segurança de falsificação de solicitação do lado do servidor (SSRF) que pode vazar dados confidenciais da nuvem.

Introdução ao Microsoft Copilot Studio

IT Home anexa a introdução oficial da Microsoft da seguinte forma:

Copilot Studio é uma plataforma de IA conversacional ponta a ponta que permite criar e personalizar assistentes usando linguagem natural ou interfaces gráficas.

Usando o Copilot Studio, os usuários podem projetar, testar e lançar facilmente para atender às necessidades de cenários internos ou externos.

brechas

Os pesquisadores exploraram uma vulnerabilidade na ferramenta Copilot Studio da Microsoft para fazer solicitações HTTP externas, acessando assim informações confidenciais sobre serviços internos no ambiente de nuvem e potencialmente impactando vários locatários.

Pesquisadores da Tenable descobriram uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) em uma ferramenta de criação de chatbot, que exploraram para obter acesso à infraestrutura interna da Microsoft, incluindo o Instance Metadata Service (IMDS) e instâncias internas do Cosmos DB.

A vulnerabilidade é rastreada pela Microsoft como CVE-2024-38206. De acordo com o comunicado de segurança relacionado à vulnerabilidade, um invasor autenticado pode ignorar a proteção SSRF no Microsoft Copilot Studio e vazar informações confidenciais baseadas na nuvem pela rede.