Pesquisadores de segurança cibernética revelaram uma falha crítica de segurança que afeta o Microsoft Copilot Studio e que pode ser explorada para acessar informações confidenciais.
Rastreada como CVE-2024-38206 (pontuação CVSS: 8,5), a vulnerabilidade é descrita como um bug de divulgação de informações de um ataque de falsificação de solicitação do lado do servidor (SSRF).
“Um invasor autorizado pode ignorar as proteções contra falsificação de solicitação do lado do servidor (SSRF) no Microsoft Copilot Studio para vazar informações confidenciais na rede”, disse a Microsoft em um comunicado emitido em 6 de agosto de 2024.
A gigante da tecnologia também disse que a vulnerabilidade foi corrigida e não requer nenhuma ação dos clientes.
O pesquisador de segurança pago Evan Grant, responsável pela descoberta e relato da falha, disse que ela aproveita a capacidade do Copilot de fazer solicitações externas da Web.
“Combinado com um mecanismo de segurança SSRF útil, usamos essa falha para acessar a infraestrutura interna da Microsoft para o Copilot Studio, incluindo o Instance Metadata Service (IMDS) e instâncias internas do Cosmos DB”, disse Grant.
Em outras palavras, o método de ataque tornou possível recuperar metadados de instância da mensagem de bate-papo do Copilot, usando-os para obter tokens de acesso de identidade gerenciados, que poderiam ser usados de forma abusiva para acessar outros recursos internos, incluindo a obtenção de acesso de leitura/gravação ao Cosmos DB. por exemplo.
A empresa de cibersegurança referiu ainda que embora este método não permita o acesso às informações dos inquilinos, a infraestrutura que alimenta o serviço Copilot Studio é partilhada pelos inquilinos, o que pode afetar muitos clientes quando acede à infraestrutura interna da Microsoft.
A divulgação ocorre no momento em que a Tenable descreve duas falhas de segurança que estão sendo abordadas no Azure Health Bot Service da Microsoft (CVE-2024-38109, pontuação CVSS: 9.1), que, se exploradas, podem permitir que um agente mal-intencionado acesse o tráfego dentro do ambiente de um cliente e acesso. dados confidenciais do paciente.
Também segue um anúncio da Microsoft de que exigirá que todos os clientes do Microsoft Azure habilitem a autenticação multifator (MFA) em suas contas a partir de outubro de 2024 como parte da Secure Future Initiative (SFI).
“O MFA será obrigado a entrar no portal Azure, no centro de gerenciamento Microsoft Entra e no centro de gerenciamento Intune. A regra será implementada gradualmente para todos os empregadores em todo o mundo”, disse Redmond.
“A partir do início de 2025, o MFA será implementado gradualmente para login da CLI do Azure, Azure PowerShell, aplicativos móveis do Azure e ferramentas de infraestrutura como código (IaC).”
