Tenable Research descobre uma vulnerabilidade crítica no assistente virtual de IA da Microsoft, Copilot Studio

Esta vulnerabilidade demonstra que erros podem ser cometidos quando as empresas se apressam para serem as primeiras a lançar produtos em um novo espaço ou em um que se expande rapidamente

Salvador, 29/8/2024 – A Tenable, empresa de gerenciamento de exposição, revelou que sua equipe de pesquisa, Tenable Research, descobriu uma vulnerabilidade crítica de divulgação de informações no Microsoft Copilot Studio, o assistente virtual de IA da Microsoft, que permitiu aos pesquisadores acessarem informações potencialmente sensíveis por meio de como o Copilot Studio lida com certas solicitações, especificamente uma falsificação de solicitações do lado do servidor (SSRF). Esta vulnerabilidade existe devido ao manuseio inadequado dos códigos de status de redirecionamento para ações configuráveis pelo usuário dentro do Copilot Studio.

Esta descoberta segue as recentes revelações da equipe sobre falhas no serviço Azure Health Bot da Microsoft, as tags de serviço do Azure e três vulnerabilidades no serviço de gerenciamento de API do Azure.

O Microsoft Copilot Studio é uma ferramenta de assistente virtual impulsionada por IA, projetada para ajudar os usuários em tarefas como a geração de código, criação de conteúdo e automação de fluxos de trabalho. Uma vulnerabilidade SSRF ocorre quando um atacante pode influenciar a aplicação para que realize solicitações HTTP do lado do servidor a alvos inesperados ou de maneira inesperada, por exemplo, forçando uma aplicação em um host remoto a realizar solicitações para uma localização não prevista.

Se um atacante puder controlar o alvo dessas solicitações, ele poderia direcionar a solicitação para um recurso interno sensível ao qual a aplicação do lado do servidor tem acesso, mesmo que o atacante não o tenha, revelando informações potencialmente sensíveis. Se este problema tivesse sido explorado por um ator malicioso, ele poderia ter acessado a infraestrutura interna do Copilot Studio, que é um ambiente compartilhado entre clientes. Isso poderia ter permitido o acesso ao serviço de metadados de instância do Azure (IMDS), o que permitiria a um ator de ameaças obter tokens de acesso para o ambiente, concedendo acesso adicional a outros recursos compartilhados, como um banco de dados Cosmos DB, onde informações sensíveis sobre o Copilot Studio são armazenadas.

“No contexto das aplicações em nuvem, um alvo comum é o serviço de metadados de instância (IMDS), que, dependendo da plataforma em nuvem, pode fornecer informações úteis e potencialmente sensíveis para um atacante. Neste caso, conseguimos recuperar tokens de acesso de identidade gerenciada do IMDS. Não era necessária nenhuma informação além do uso do Copilot Studio para explorar essa vulnerabilidade”, explica Jimi Sebree, engenheiro de pesquisa sênior na Tenable. “Como em algumas das vulnerabilidades anteriores encontradas por nossa equipe de pesquisa, esta vulnerabilidade demonstra que erros podem ser cometidos quando as empresas se apressam para serem as primeiras a lançar produtos em um novo espaço ou em um que se expande rapidamente”.

A Microsoft confirmou que as soluções para esse problema estavam implementadas desde 31 de julho de 2024. Não é necessária nenhuma ação por parte dos clientes.

Últimas notícias

Eventos
Larco Petróleo Acelera Transformação Digital com Implementação do SAP S/4HANA no Ambiente Rise

São Paulo, 04 de setembro de 2024 – A Larco Petróleo, quarta maior distribuidora de combustíveis do Brasil e a terceira do Nordeste, está em plena transformação digital com a implementação do SAP S/4HANA no ambiente Rise. Durante o SAP NOW Brazil 2024, Thales Almeida, Gerente de TIC, e Patrícia Nogueira, Gerente de Governança da […]
Eventos
No SAP NOW, Marcele Andrade Aponta Caminhos para Sustentabilidade e Inovação com Inteligência Artificial na Gestão Empresarial

São Paulo, 04 de setembro de 2024 – O SAP NOW Brazil 2024, realizado nos dias 3 e 4 de setembro no Transamerica Expo Center, reuniu especialistas para discutir como a Inteligência Artificial e a gestão sustentável podem impulsionar os negócios. Marcele Andrade, Vice-Presidente de Indústria e Engenharia de Valor na SAP América Latina e […]
Eventos
Fundação Amazônia Sustentável avança na gestão de dados com SAP Datasphere e SAP Analytics Cloud

Salvador, 04/09/2024 – A Fundação Amazônia Sustentável (FAS) alcançou um importante avanço na gestão de dados relacionados aos projetos conduzidos na região Amazônica, graças à adoção do SAP Datasphere e do SAP Analytics Cloud. A coleta, o cruzamento e a análise integrada de dados relacionados aos negócios apoiados pela incubadora da FAS nas comunidades ribeirinhas […]
Eventos
Ambipar inova com soluções sustentáveis da SAP

São Paulo, 03 de setembro de 2024 – A Ambipar, líder em soluções ambientais com operações em 40 países, adotou recentemente uma combinação de soluções robustas em nuvem que inclui SAP Sustainability Footprint Management, SAP Sustainability Data Exchange, SAP Green Token e SAP Sustainability Control Tower para impulsionar a economia Net Zero na América Latina […]
Eventos
SAP NOW: Accenture apresenta cases de sucesso da M. Dias Branco e da Celesc

Salvador, 03/09/2024 – Nesta terça e quarta-feira, a Accenture estará presente no SAP NOW, evento que reúne a comunidade SAP de vários países do mundo para compartilhar conhecimento e melhores práticas. Trata-se de uma oportunidade para conhecer as inovações mais recentes, conversar com especialistas em tecnologia, explorar as soluções e interagir com parceiros do ecossistema […]

Menu