новости

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

22 августа IT House сообщила, что вчера (21 августа) компания Technology Media опубликовала сообщение в блоге, в котором сообщается, что Microsoft Copilot Studio имеет уязвимость безопасности подделки запросов на стороне сервера (SSRF), которая может привести к утечке конфиденциальных облачных данных.

Введение в Microsoft Copilot Studio

IT Home прилагает официальное введение от Microsoft следующим образом:

Copilot Studio — это комплексная диалоговая платформа искусственного интеллекта, которая позволяет создавать и настраивать помощников с использованием естественного языка или графических интерфейсов.

Используя Copilot Studio, пользователи могут легко проектировать, тестировать и выпускать решения в соответствии с потребностями внутренних или внешних сценариев.

лазейки

Исследователи воспользовались уязвимостью в инструменте Microsoft Copilot Studio для выполнения внешних HTTP-запросов, тем самым получив доступ к конфиденциальной информации о внутренних службах в облачной среде и потенциально затронув несколько арендаторов.

Исследователи из Tenable обнаружили уязвимость подделки запросов на стороне сервера (SSRF) в инструменте создания чат-ботов, которую они использовали для получения доступа к внутренней инфраструктуре Microsoft, включая службу метаданных экземпляра (IMDS) и внутренние экземпляры Cosmos DB.

Уязвимость отслеживается Microsoft как CVE-2024-38206. Согласно рекомендациям по безопасности, связанным с этой уязвимостью, злоумышленник, прошедший проверку подлинности, может обойти защиту SSRF в Microsoft Copilot Studio и передать конфиденциальную облачную информацию по сети.