Microsoft, araştırmacıların hassas dahili bulut verilerine ve hizmetlerine erişmesine izin veren Copilot Studio aracında kritik bir güvenlik açığını düzeltti. CVE-2024-38206 olarak izlenen kusur, siber güvenlik firması Tenable tarafından keşfedildi ve sunucu tarafı istek sahteciliği (SSRF) sorunu olarak tanımlandı.
Microsoft’un Power Platform’u üzerine inşa edilen Copilot Studio, kullanıcıların Microsoft 365 ve diğer bağlı kaynaklardan gelen verileri kullanarak çeşitli görevleri gerçekleştirebilen özel AI sohbet robotları oluşturmasına olanak tanır. Copilot Studio’nun bir özelliği, belirli kullanıcı ifadeleriyle tetiklenen HTTP istekleri yapma yeteneğidir.
Tenable araştırmacıları, bu HTTP istek işlevselliğini bir SSRF koruma atlamasıyla birleştirerek Microsoft’un Copilot Studio için dahili altyapısına erişebileceklerini buldular. Buna Instance Metadata Service (IMDS) ve dahili Cosmos DB veritabanları da dahildi.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Araştırmacılar, istismarlarını kullanarak, Copilot sohbet mesajları aracılığıyla yönetilen kimlik erişim belirteçleri de dahil olmak üzere örnek meta verilerini aldılar. Bu erişim belirteçleri daha sonra diğer dahili Microsoft bulut kaynaklarına erişmek için kullanılabilirdi.
Örneğin araştırmacılar, IMDS aracılığıyla elde edilen Cosmos DB ana anahtarlarını kullanarak geçerli yetkilendirme belirteçleri üreterek dahili bir Cosmos DB örneğine okuma/yazma erişimi elde ettiler.
Bu özel veritabanına yalnızca Microsoft’un dahili altyapısı erişebilse de araştırmacıların Copilot örneği, uygun başlıklarla istekler oluşturarak bu veritabanına erişebildi.
Kiracılar Arası Etki ve Hızlı Azaltma
Tenable, hemen erişilebilir herhangi bir kiracı arası veri bulamasa da, Copilot Studio altyapısının farklı müşteriler arasında paylaşıldığını belirtti. Bu, temel sistemlerdeki herhangi bir etkinin potansiyel olarak birden fazla Copilot Studio kiracısını etkileyebileceği anlamına gelir.
Microsoft, güvenlik açığından haberdar edildikten sonra bunu hızla ele aldı. Şirket, buna CVE-2024-38206 atayarak kritik bir bilgi ifşa kusuru olarak değerlendirdi. Microsoft, güvenlik açığının tamamen hafifletildiğini ve müşteriden herhangi bir işlem yapılmasına gerek olmadığını belirtti.
Copilot Studio’da bu SSRF güvenlik açığının keşfi, harici HTTP istekleri yapabilen yapay zeka destekli bulut hizmetleriyle ilişkili potansiyel riskleri ortaya koyuyor.
Bu araçlar daha karmaşık hale geldikçe ve hassas kurumsal verilerle entegre oldukça, yetkisiz erişimi ve veri sızıntısını önlemek için sağlam güvenlik önlemleri ve düzenli denetimler kritik önem taşıyacaktır.
Microsoft bu özel kusuru gidermiş olsa da, üretken yapay zeka sistemlerinin giderek karmaşıklaşması, hem servis sağlayıcıların hem de müşterilerinin sürekli dikkatli olmasını gerektiriyor.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Acces