Investigadores de ciberseguridad han descubierto una vulnerabilidad crítica en Microsoft Copilot Studio que podría ser explotada para acceder a información sensible.
Se trata de una vulnerabilidad rastreada como CVE-2024-38206 (CVSS: 8.5), relacionada con un error de divulgación de información derivado de un ataque de falsificación de solicitudes del lado del servidor (SSRF).
Microsoft emitió un aviso el 6 de agosto de 2024, indicando que «un atacante autenticado puede eludir la protección SSRF en Microsoft Copilot Studio para filtrar información sensible a través de una red». La empresa también confirmó que la vulnerabilidad ya ha sido solucionada y no requiere acción por parte de los clientes.
El investigador de seguridad de Tenable, Evan Grant, explicó que aprovecharon la capacidad de Copilot para realizar solicitudes web externas combinada con un bypass de protección SSRF para obtener acceso a la infraestructura interna de Microsoft para Copilot Studio. Esto incluye el Servicio de Metadatos de Instancia (IMDS) y las instancias internas de Cosmos DB.
A pesar de que la técnica de ataque no permite el acceso a información entre inquilinos, la infraestructura compartida entre inquilinos en el servicio Copilot Studio podría afectar a varios clientes al tener acceso elevado a la infraestructura interna de Microsoft.
La divulgación de esta vulnerabilidad sigue a la revelación de dos fallas de seguridad parcheadas en el Azure Health Bot Service de Microsoft (CVE-2024-38109, CVSS: 9.1) por parte de Tenable. Estas fallas podrían permitir a un atacante lograr movimiento lateral dentro de los entornos de los clientes y acceder a datos de pacientes.
Además, Microsoft anunció que requerirá que todos los clientes de Azure activen la autenticación multifactor (MFA) en sus cuentas a partir de octubre de 2024 como parte de su Iniciativa de Futuro Seguro (SFI). A partir de principios de 2025, la implementación gradual de MFA se extenderá a varias herramientas y servicios de Azure.
Vía The Hacker News
