noticias

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

IT House informó el 22 de agosto que los medios tecnológicos darkreading publicaron una publicación de blog ayer (21 de agosto), informando que Microsoft Copilot Studio tiene una vulnerabilidad de seguridad de falsificación de solicitudes del lado del servidor (SSRF) que puede filtrar datos confidenciales en la nube.

Introducción a Microsoft Copilot Studio

IT Home adjunta la introducción oficial de Microsoft de la siguiente manera:

Copilot Studio es una plataforma de IA conversacional de un extremo a otro que le permite crear y personalizar asistentes utilizando lenguaje natural o interfaces gráficas.

Con Copilot Studio, los usuarios pueden diseñar, probar y lanzar fácilmente para satisfacer las necesidades de escenarios internos o externos.

lagunas

Los investigadores explotaron una vulnerabilidad en la herramienta Copilot Studio de Microsoft para realizar solicitudes HTTP externas, accediendo así a información confidencial sobre servicios internos en el entorno de la nube y potencialmente impactando a múltiples inquilinos.

Los investigadores de Tenable descubrieron una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en una herramienta de creación de chatbot, que explotaron para obtener acceso a la infraestructura interna de Microsoft, incluido el Servicio de metadatos de instancia (IMDS) y las instancias internas de Cosmos DB.

Microsoft rastrea la vulnerabilidad como CVE-2024-38206 Según el aviso de seguridad relacionado con la vulnerabilidad, un atacante autenticado puede eludir la protección SSRF en Microsoft Copilot Studio y filtrar información confidencial basada en la nube a través de la red.