Microsoft Copilot Enterprise’da kritik bir güvenlik açığı keşfedildi ve yetkisiz kullanıcıların arka uç kapsayıcısına kök erişimi kazanmalarını sağladı.
Bu güvenlik açığı, önemli bir risk oluşturmaktadır, potansiyel olarak kötü niyetli kullanıcıların sistem ayarlarını manipüle etmesine, duyarlı verilere erişmesine ve uygulamanın bütünlüğünü tehlikeye atmasına izin verir.
Sorun, Kodu sorunsuz bir şekilde yürütmek için tasarlanmış Jupyter not defteri tarafından desteklenen canlı bir Python sanal alanını tanıtan Nisan 2025 güncellemesinden kaynaklandı. Bir özellik geliştirmesi olarak başlayan şey, AI-entegre sistemlerde riskleri vurgulayarak sömürü için bir oyun alanına dönüştü.
Göz güvenliği tarafından ortaya çıkarılan güvenlik açığı, öngörülemeyen bir çocuğu koaksil etmek için copilot ile etkileşimi şakacı bir şekilde benzetti. Jupyter’ın %komut sözdizimini kullanarak, miniconda ortamında ‘Ubuntu’ kullanıcısı olarak keyfi Linux komutlarını yürüttüler.
Kullanıcının sudo grubunda olmasına rağmen, kuruluma ironik bir katman ekleyerek Sudo ikili yoktu. Sandbox, Chatgpt’in modelini yansıttı, ancak Chatgpt’in o zamanki 3.11’e kıyasla daha yeni bir çekirdek ve Python 3.12 ile övündü.
Keşif, Sandbox’ın bir Tika sunucusunun yanında Jupyter dizüstü bilgisayarlarını çalıştırmada temel rolünü ortaya çıkardı. Kapsayıcıya, ana bilgisayardaki A /Lejyon yoluna bağlı bir OverlayFS dosya sistemi kullanan A /32 Net Mask ile sınırlı bir bağlantı-yerel ağ arayüzü vardı.
Özel komut dosyaları /APP dizininde ikamet etti ve kalıcı komutlardan sonra, Copilot dosyaları veya katran klasörlerini indirmeye ikna edilebilir, bunları Outlook’taki blob bağlantıları aracılığıyla harici erişim için /mnt /data olarak kopyalayabilir.[.]com.
Anahtar bir ikili, GoclientApp In /App, kapsayıcının arayüzü olarak hareket etti ve uç noktaları /yürütme isteği için 6000 numaralı bağlantı noktasında bir web sunucusu çalıştırdı.
Jupyter ortamında {“kod”: ”%env”} gibi basit JSON yükleri, kod yürütülmesini tetikler. Httpproxy ikili, Egress devre dışı bırakılsa da, gelecekteki giden trafik yeteneklerini ima etti.
Kök olarak çalışan giriş noktası.sh komut dosyası çok önemli olduğunu kanıtladı. Çoğu işlem için ayrıcalıklar bıraktı, ancak kök olarak KeepaliVeJupytersvc.sh’yi başlattı. 28. satırdaki eleştirel bir gözetim, her iki saniyede bir ‘gerçek’ döngüde yürütülen tam bir yol olmayan bir PGREP komutunu içeriyordu.
Bu, meşru PGREP’in bulunduğu/USR/BIN’den önce/app/miniconda/bin gibi yazılabilir dizinleri içeren $ yol değişkenine dayanıyordu.
Bunu kullanan araştırmacılar, yazılabilir yolda PGREP olarak gizlenmiş kötü niyetli bir Python senaryosu hazırladılar. Copilot aracılığıyla yüklendi,/mnt/data/in komutlarını okudu, patlama ile yürüttü ve/mnt/data/out çıktı.
Bu, bilinen güvenlik açıkları yamalandığı için hassas veri veya kırılma yolu bulunamamasına rağmen, dosya sistemi keşfini etkinleştirerek kök erişimini sağladı.
Göz güvenliği, sorunu 18 Nisan 2025’te Microsoft Güvenlik Müdahale Merkezi’ne (MSRC) bildirdi. Güvenlik açığı 25 Temmuz’a kadar ılımlı bir şiddet olarak sınıflandırıldı. Hiçbir ödül verilmedi, sadece Microsoft’un araştırmacı sayfasında bir onay.
Araştırmacılar, istismarın eğlencenin ötesinde “kesinlikle hiçbir şey” vermediğini, ancak Copilot için Sorumlu AI operasyon paneline ve Entra OAuth kötüye kullanımı yoluyla 21 iç hizmet de dahil olmak üzere daha fazla keşif yaptığını belirtti.
Bu olay, AI kum havuzlarının çift kenarlı kılıcının altını çiziyor: yenilikçi ancak yaratıcı saldırılara karşı savunmasız. Microsoft herkese açık bir yorum yapmadı, ancak Swift Fix, gelişen AI manzaralarında proaktif güvenlik önlemleri gösteriyor.
Gerçek zamanlı sanal alan analizi ile daha hızlı, daha doğru kimlik avı tespiti ve işletmeniz için gelişmiş koruma deneyimi-> Herhangi birini deneyin. Şimdi