Microsoft’un M365 Copilot’taki kritik bir güvenlik açığı, kullanıcıların denetim günlüklerinde herhangi bir iz bırakmadan hassas dosyalara erişmelerine izin vererek dünya çapında kuruluşlar için önemli güvenlik ve uyumluluk riskleri yarattı.
Temmuz 2024’te keşfedilen kusur, Microsoft tarafından “önemli” bir güvenlik açığı olarak sınıflandırılmasına rağmen müşterilerden büyük ölçüde gizlendi.
Ciddi sonuçlarla basit istismar
Güvenlik açığı, Copilot’un denetim günlüğünü nasıl ele aldığı konusunda temel bir kusurdan yararlandı. Normal koşullar altında, kullanıcılar M365 Copilot’u belgeleri özetlemesini istediğinde, sistem bu erişim olaylarını denetim günlüklerinde kaydeder – bu da dosya erişimini izlemek için kritik bir güvenlik özelliği.
Bununla birlikte, araştırmacılar, dosya bağlantıları sağlamaktan kaçınmak için Copilot istemenin bu denetim girişlerinin tamamen ortadan kalkmasına neden olacağını keşfettiler.
“Tıpkı bunun gibi, denetim günlüğünüz yanlış. Kötü niyetli bir içeriden için, tespit etmekten kaçınmak, copilot sormak kadar basittir,” diye açıkladı kusuru.
Güvenlik açığı o kadar basitti ki, rutin kopilot etkileşimleri sırasında yanlışlıkla ortaya çıkabilir, yani birçok kuruluşun farkında olmadan eksik denetim günlükleri vardır.
Çıkarımlar basit güvenlik endişelerinin çok ötesine uzanmaktadır. HIPAA gibi düzenleyici gereksinimlere tabi olan kuruluşlar, teknik koruma gereksinimlerine uygunluğu göstermek için kapsamlı denetim günlüklerine güvenmektedir.
Yasal işlemler genellikle önemli kanıt olarak denetim yollarına bağlıdır ve ABD hükümeti daha önce denetim günlüğünü temel bir güvenlik özelliği olarak vurgulamıştır.
Güvenlik açığı Microsoft’a 4 Temmuz’da Microsoft Güvenlik Müdahale Merkezi (MSRC) portalları aracılığıyla rapor edildi, ancak taşıma süreci şirketin yayınlanmış yönergelerinden önemli ölçüde saptı.
Microsoft, yerleşik çoğaltma ve geliştirme aşamalarını takip etmek yerine, rapor “yeniden üretme” durumunda kalırken sorunu sessizce çözüyor gibi görünüyordu.
En önemlisi, Microsoft’un bir CVE (ortak güvenlik açıkları ve maruziyetler) numarası verme veya müşterileri kusur hakkında bilgilendirme kararı idi.
Bu yaklaşım hakkında sorgulandığında Microsoft, bu sorunu “önemli” olarak sınıflandırmasına rağmen, yalnızca “kritik” güvenlik açıkları için CVES yayınlama politikalarını belirtti. Şirketin, güvenlik açığının etkilenen müşterilere varlığını açıklama planı olmadığı bildirildi.
Microsoft, düzeltmeyi 17 Ağustos 2024’te dağıttı ve kullanıcı müdahalesi gerektirmeden azaltmayı otomatik olarak Copilot sistemlerine itti.
Bununla birlikte, bu tarihten önce Copilot kullanan kuruluşlar, hangi erişimlerin kaydedilmediğini bilmeden denetim günlüklerinden ödün vermiş olabilirler.
Araştırmacının güvenlik açığını kamuya açıklama kararı, Microsoft’un müşterileri denetim günlüğü boşlukları hakkında bilgilendirmeyi reddetmesinden kaynaklanmaktadır.
Bu durum, Microsoft’un şeffaflık uygulamaları ve müşteri bildirimi olmadan sessizce ele alınabileceği hakkında daha geniş sorular ortaya çıkarır.
Güvenlik izleme ve düzenleyici uyum için denetim yollarına büyük ölçüde bağımlı kuruluşlar için, bu olay, kritik güvenlik işlevlerine sahip otomatik AI sistemlerine güvenme risklerini vurgulamaktadır ve satıcı tarafından sağlanan tomruklama mekanizmalarının ötesine uzanan kapsamlı güvenlik denetim uygulamalarına ihtiyaç olduğunu vurgulamaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!