تقوم Microsoft بتصحيح ثغرة أمنية خطيرة في Copilot Studio والتي تكشف البيانات الحساسة

21 أغسطس 2024رافي لاكشمانانأمن البرمجيات / الضعف

كشف باحثون في مجال الأمن السيبراني عن ثغرة أمنية خطيرة تؤثر على برنامج Copilot Studio من Microsoft والذي يمكن استغلاله للوصول إلى المعلومات الحساسة.

تم تتبع الثغرة الأمنية على أنها CVE-2024-38206 (درجة CVSS: 8.5)، وقد تم وصف الثغرة الأمنية على أنها خطأ في الكشف عن المعلومات ناتج عن تزوير طلب من جانب الخادم (SSRF) هجوم.

“يمكن للمهاجم المعتمد تجاوز حماية تزوير الطلب من جانب الخادم (SSRF) في Microsoft Copilot Studio لتسريب المعلومات الحساسة عبر الشبكة،” Microsoft قال في الاستشارة الصادرة في 6 أغسطس 2024.

وقال عملاق التكنولوجيا أيضًا إنه تمت معالجة الثغرة الأمنية وأنها لا تتطلب أي إجراء من جانب العميل.

وقال الباحث الأمني ​​القابل للاستمرار، إيفان جرانت، والذي يُنسب إليه اكتشاف الخلل والإبلاغ عنه، إنه يستفيد من قدرة Copilot على تقديم طلبات ويب خارجية.

“بالإضافة إلى تجاوز حماية SSRF المفيد، استخدمنا هذا الخلل للوصول إلى البنية التحتية الداخلية لشركة Microsoft لـ Copilot Studio، بما في ذلك خدمة البيانات التعريفية للمثيلات (IMDS) ومثيلات Cosmos DB الداخلية،” Grant قال.

وبعبارة أخرى، أتاحت تقنية الهجوم استرداد بيانات تعريف المثيل في رسالة دردشة Copilot، واستخدامها للحصول على رموز الوصول إلى الهوية المُدارة، والتي يمكن بعد ذلك إساءة استخدامها للوصول إلى الموارد الداخلية الأخرى، بما في ذلك الحصول على حق الوصول للقراءة/الكتابة إلى قاعدة بيانات Cosmos DB مثال.

لاحظت شركة الأمن السيبراني أيضًا أنه على الرغم من أن هذا النهج لا يسمح بالوصول إلى المعلومات بين المستأجرين، إلا أن البنية التحتية التي تدعم خدمة Copilot Studio تتم مشاركتها بين المستأجرين، مما قد يؤثر على العديد من العملاء عند الوصول بشكل متزايد إلى البنية التحتية الداخلية لشركة Microsoft.

يأتي هذا الكشف في الوقت الذي قام فيه Tenable بتفصيل ثغرتين أمنيتين تم تصحيحهما الآن في خدمة Azure Health Bot Service من Microsoft (CVE-2024-38109، درجة CVSS: 9.1)، والتي، إذا تم استغلالها، يمكن أن تسمح لممثل خبيث بتحقيق حركة جانبية داخل بيئات العملاء والوصول إلى بيانات المريض الحساسة.

ويأتي ذلك أيضًا بعد إعلان من Microsoft أنها ستطلب من جميع عملاء Microsoft Azure تمكين المصادقة متعددة العوامل (MFA) على حساباتهم بدءًا من أكتوبر 2024 كجزء من مبادرة المستقبل الآمن (SFI).

“سيُطلب من MFA تسجيل الدخول إلى بوابة Azure ومركز إدارة Microsoft Entra ومركز إدارة Intune. وسيتم تطبيق التنفيذ تدريجيًا على جميع المستأجرين في جميع أنحاء العالم،” Redmond قال.

“بدءًا من أوائل عام 2025، سيبدأ التنفيذ التدريجي لـ MFA عند تسجيل الدخول لـ Azure CLI وAzure PowerShell وتطبيق Azure للهاتف المحمول وأدوات البنية التحتية كرمز (IaC).”