Microsoft’un M365 için Copilot’unda, potansiyel kötü niyetli içericiler de dahil olmak üzere kullanıcıların resmi denetim günlüklerinde herhangi bir kayıt bırakmadan hassas dosyalara erişmesine ve etkileşime girmesine izin veren önemli bir güvenlik açığı keşfedilmiştir.
Kusura yama yaptıktan sonra, Microsoft’un resmi bir CVE yayınlamaya veya müşterilerini bilgilendirmeye karar verdiği ve kuruluşları düzeltmeden önce güvenlik günlüklerinin kritik bir eksik olabileceğinden habersiz bıraktığı bildirildi.
Tech Company Fıstığı’nda bir güvenlik araştırmacısı tarafından detaylandırılan güvenlik açığından yararlanmak oldukça basitti.
Normal şartlar altında, bir kullanıcı Copilot’tan bir dosyayı özetlemesini istediğinde, eylem güvenlik izleme ve uyumluluk için çok önemli bir özellik olan M365 denetim günlüğüne kaydedilir.
Bununla birlikte, araştırmacı, Copilot için özetlenmiş dosyaya referans bağlantısı sağlamamak için bir komut ekleyerek AI Asistan’ın herhangi bir günlük girişini tetiklemeden hareket edeceğini buldu.
Bu, güvenlik ekipleri için etkili bir şekilde dijital bir kör nokta yaratır. Kötü niyetli bir çalışan, bu yöntemi, bir şirketten ayrılmadan hemen önce, hepsi iz bırakmadan, gizli verilere, fikri mülkiyet veya kişisel bilgilere erişmek ve sunmak için kullanabilir.
HIPAA gibi uyumluluk standartlarını karşılamak için denetim günlüklerinin bütünlüğüne dayanan sağlık ve finans gibi düzenlenmiş endüstrilerdeki kuruluşlar için sonuçlar şiddetlidir.
4 Temmuz 2025’te kusuru keşfeden araştırmacı, Microsoft Güvenlik Yanıt Merkezi (MSRC) ile “sinir bozucu ve opak” bir açıklama süreci tanımladı.
Microsoft’un güvenlik açığı raporlaması için kamuya açık yönergelerine rağmen, araştırmacı şirketin sorunu resmi olarak kabul etmeden önce sessizce yamaya başladığını ve net bir şekilde iletişim kuramadığını iddia ediyor.
Microsoft nihayetinde güvenlik açığını “önemli” olarak sınıflandırdı ve 17 Ağustos’ta bir düzeltme kullandı. Ancak şirket, araştırmacıya bir CVE’nin verilmeyeceğini bildirdi, çünkü düzeltme manuel güncellemeler gerektirmeden otomatik olarak kullanıcılara itildi. Bu gerekçe, otomatik güncellemelerin bir CVE’yi engellediğini belirtmeyen Microsoft’un kendi politikasıyla çelişir.
Ayrıca Microsoft, kamu açıklaması için hiçbir planı olmadığını doğruladı. Bu karar, müşterilerin 18 Ağustos’tan önceki denetim günlüklerinin güvenilmez olabileceği konusunda bilgilendirilmedikleri anlamına geldiği için keskin bir eleştiri yapmıştır.
Sömürü kolaylığı, güvenlik açığının normal kullanıcılar tarafından istemeden tetiklenebileceğini, yani sayısız kuruluşun bilmeden günlükleri tehlikeye atabileceğini düşündürmektedir.
Endişeye ek olarak, daha sonra bunun güvenlik açığının ilk kez bulunmadığı ortaya çıktı. Güvenlik firması Zenity’deki CTO olan Michael Bargary, aynı sorunu bir yıl önce keşfetti ve açıkladığı bildirildi, ancak açılmadan kaldı.
Güvenlik açığı artık düzeltilirken, kritik bir boşluk kalır. Belirsiz bir süre için, M365 Copilot kullanan herhangi bir kuruluşun eksik denetim kayıtları olabilir, güvenlik araştırmalarını ve yasal uyumluluğu zayıflatabilir.
Microsoft’un sorunu ele alma kararı, AI’yı ürün ekosistemine hızla entegre ettiği için şeffaflık taahhüdüyle ilgili ciddi sorular ortaya çıkarır.
Safely detonate suspicious files to uncover threats, enrich your investigations, and cut incident response time. Start with an ANYRUN sandbox trial →