Моя контактная информация
Почта[email protected]
2024-08-22
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
22 августа IT House сообщила, что вчера (21 августа) компания Technology Media опубликовала сообщение в блоге, в котором сообщается, что Microsoft Copilot Studio имеет уязвимость безопасности подделки запросов на стороне сервера (SSRF), которая может привести к утечке конфиденциальных облачных данных.
Введение в Microsoft Copilot Studio
IT Home прилагает официальное введение от Microsoft следующим образом:
Copilot Studio — это комплексная диалоговая платформа искусственного интеллекта, которая позволяет создавать и настраивать помощников с использованием естественного языка или графических интерфейсов.
Используя Copilot Studio, пользователи могут легко проектировать, тестировать и выпускать решения в соответствии с потребностями внутренних или внешних сценариев.
лазейки
Исследователи воспользовались уязвимостью в инструменте Microsoft Copilot Studio для выполнения внешних HTTP-запросов, тем самым получив доступ к конфиденциальной информации о внутренних службах в облачной среде и потенциально затронув несколько арендаторов.
Исследователи из Tenable обнаружили уязвимость подделки запросов на стороне сервера (SSRF) в инструменте создания чат-ботов, которую они использовали для получения доступа к внутренней инфраструктуре Microsoft, включая службу метаданных экземпляра (IMDS) и внутренние экземпляры Cosmos DB.
Уязвимость отслеживается Microsoft как CVE-2024-38206. Согласно рекомендациям по безопасности, связанным с этой уязвимостью, злоумышленник, прошедший проверку подлинности, может обойти защиту SSRF в Microsoft Copilot Studio и передать конфиденциальную облачную информацию по сети.