Microsoft Copilot Studio: bug mette a rischio i dati privati
Il problema è dovuto alla capacità di Copilot di effettuare richieste web esterne.
Gli esperti hanno avvertito che Microsoft Copilot Studio presentava un problema di sicurezza che avrebbe potuto consentire ai criminali informatici di estrapolare dati sensibili dagli endpoint vulnerabili.
Il ricercatore di cybersicurezza Evan Grant di Tenable ha trovato e segnalato la vulnerabilità, descritta come una falla di divulgazione delle informazioni derivante da un attacco SSRF (server-side request forgery) e classificata come CVE-2024-38206 con un punteggio di gravità pari a 8,5.
Copilot Studio è una piattaforma di intelligenza artificiale conversazionale end-to-end che consente agli utenti di creare e personalizzare materiale utilizzando il linguaggio naturale o un'interfaccia grafica.
Microsoft corregge il bug
Descrivendo la falla, Grant ha detto che essa abusa di una funzione di Copilot che effettua richieste web esterne.
"In combinazione con un utile bypass della protezione SSRF, abbiamo utilizzato questa falla per ottenere l'accesso all'infrastruttura interna di Microsoft per Copilot Studio, compreso l'Instance Metadata Service (IMDS) e le istanze interne di Cosmos DB", ha dichiarato Grant.
In parole povere, Grant ha estratto i metadati dell'istanza nei messaggi di chat di Copilot e li ha utilizzati per ottenere i token di accesso all'identità gestita. Questi, a loro volta, gli hanno permesso di accedere ad altre risorse interne e alle funzioni di lettura/scrittura di un'istanza Cosmos DB.
"Un aggressore autenticato può aggirare la protezione Server-Side Request Forgery (SSRF) di Microsoft Copilot Studio per far trapelare informazioni sensibili attraverso la rete", ha dichiarato Microsoft in un avviso, riconoscendo di fatto il bug. Non c'è nulla che gli utenti debbano fare, tuttavia, il bug è gestito da Microsoft.
Sei un professionista? Iscriviti alla nostra Newsletter
Iscriviti alla newsletter di Techradar Pro per ricevere tutte le ultime notizie, opinioni, editoriali e guide per il successo della tua impresa!
Sebbene la falla consenta ai malintenzionati di accedere a dati sensibili, non permette loro di accedere a informazioni più delicate, ha concluso Grant. Tuttavia, poiché l'infrastruttura di Copilot Studio è condivisa tra più tenant, in teoria ciò significa che più clienti possono essere colpiti quando hanno più accessi all'infrastruttura di Microsoft.
Microsoft Copilot Studio fa parte di una più ampia iniziativa, che integra strumenti basati sull'intelligenza artificiale nella sua suite di software. Annunciato nel 2023, Copilot Studio consente alle organizzazioni e agli sviluppatori di adattare il comportamento di Copilot alle loro esigenze specifiche.
Via Hacker News
Nato nel 1995 e cresciuto da due genitori nerd, non poteva che essere orientato fin dalla tenera età verso un mondo fatto di videogiochi e nuove tecnologie. Fin da piccolo ha sempre esplorato computer e gadget di ogni tipo, facendo crescere insieme a lui le sue passioni. Dopo aver completato gli studi, ha lavorato con diverse realtà editoriali, cercando sempre di trasmettere qualcosa in più oltre alla semplice informazione. Amante del cioccolato fondente, continua a esplorare nuove frontiere digitali, mantenendo sempre viva la sua curiosità e la sua dedizione al settore.