Уязвимост в Microsoft Copilot Studio може да бъде използвана за достъп до чувствителна информация във вътрешната инфраструктура, използвана от услугата, съобщава Tenable.

Недостатъкът, проследен като CVE-2024-38206 (CVSS оценка 8,5) и описан като „критичен“ бъг за разкриване на информация, е напълно отстранен, съобщи Microsoft в консултация от 6 август.

„Упълномощен нападател може да заобиколи защитата срещу подправяне на заявки от страна на сървъра (SSRF) в Microsoft Copilot Studio, за да изтече чувствителна информация по мрежата“, обясни технологичният гигант.

Според Tenable проблемът всъщност е дефект в сигурността на SSRF в Copilot Studio и се основава на това, че Copilot може да прави външни уеб заявки.

„В комбинация с полезно заобикаляне на защитата SSRF използвахме този недостатък, за да получим достъп до вътрешната инфраструктура на Microsoft за Copilot Studio, включително услугата за метаданни за инстанциите (IMDS) и вътрешните инстанции на Cosmos DB“, обяснява Tenable.

Съвременните приложения, отбелязва фирмата за киберсигурност, интегрират данни от външни услуги и правят HTTP заявки към API на тези услуги. Атакуващите, които могат да контролират целта на заявките, както е при всяка уязвимост SSRF, могат да разкрият потенциално чувствителна информация от ресурси, до които нямат достъп.

IMDS е често целеви ресурс, когато става въпрос за облачни приложения, и функциите, които биха могли да доведат до SSRF грешки, обикновено са блокирани за насочване към IMDS.

Copilot Studio позволява на потребителите да изграждат персонализирани Copilots, които да изпълняват различни LLM и генеративни AI задачи въз основа на постъпилите данни. Потребителите могат също така да дефинират ключови фрази, на които ИИ реагира по определен начин или изпълнява дадени действия, като например изпращане на HTTP заявки.

„Още по-добре е, че това HttpRequestAction (наречено така в изгледа на редактора на кода на темата) позволява контрол върху заглавията на HTTP заявките, което ще е полезно за тестване срещу IMDS, тъй като то изисква специални заглавия на заявките“, отбелязва Tenable.

След известно тестване фирмата за киберсигурност открива, че е възможно да се заобиколят защитите на услугата SSRF и да се направи заявка към IMDS, като се посочи параметърът HttpRequestAction към потребителски сървър и се изпрати отговор за пренасочване „301 Moved Permanently“, насочен към ограничен хост.

Тъй като заявките, предназначени за IMDS, трябваше да съдържат заглавието „Metadata: true“ и да не съдържат заглавието „X-Forwarded-For“, Tenable вмъкна нови редове в заглавието за метаданни в края на стойността „true“, с което заглавието X-Forwarded-For стана част от тялото на HTTP заявката.

Комбинирайки модифицираното заглавие с пренасочването 301, фирмата за киберсигурност извлича метаданните на инстанцията в чат съобщение на Copilot и също така успява да извлече токени за достъп до управлявана идентичност от IMDS.

След това Tenable използва токена за удостоверяване на автентичност за достъп до допълнителни ресурси, включително абонамент Azure, съдържащ крайни точки на Cosmos DB, и успя да получи главните ключове на Cosmos DB, получавайки разрешения за четене/запис.

Екземплярът на Cosmos DB можеше да бъде достъпен само от IP адреси, принадлежащи на инфраструктурата на Microsoft, но Tenable успя да генерира валиден токен за оторизация и да използва самия Copilot за достъп до екземпляра.

„След като предоставихме всички елементи на Copilot и изпратихме заявката, видяхме валиден отговор, което показва, че можем да използваме SSRF уязвимостта в Copilot, за да получим достъп за четене/запис в тази вътрешна инстанция на Cosmos DB“, обяснява Tenable.

Според фирмата за киберсигурност, въпреки че не е могла да получи достъп до информация за различни наематели по време на изследването, инфраструктурата, използвана за услугата Copilot Studio, е била споделена между наемателите и използването на дефекта потенциално е имало въздействие върху различни наематели.