Microsoft ha resuelto una vulnerabilidad crítica en su plataforma Copilot Studio que podía ser explotada para acceder a información confidencial. La falla, identificada como CVE-2024-38206, tiene una puntuación de 8,5 en la escala CVSS y se describe como un error de divulgación de información derivado de un ataque de falsificación de solicitud del lado del servidor (SSRF).
El problema, descubierto por Evan Grant, investigador de seguridad en Tenable, permitía a un atacante autenticado eludir las protecciones contra SSRF de Copilot Studio para filtrar datos sensibles a través de la red. Grant explicó que el exploit se basa en la capacidad de Copilot de realizar solicitudes web externas y en una evasión de la protección SSRF, lo que permitió acceder a la infraestructura interna de Microsoft, incluyendo el Servicio de Metadatos de Instancia (IMDS) y las instancias internas de Cosmos DB.
La técnica utilizada para el ataque implicaba recuperar metadatos de la instancia en un mensaje de chat de Copilot y emplearlos para obtener tokens de acceso a identidades administradas. Estos tokens podían ser usados para acceder a otros recursos internos, incluyendo permisos de lectura y escritura en una instancia de Cosmos DB.
Microsoft ha abordado y solucionado la vulnerabilidad, y asegura que no se requiere ninguna acción adicional por parte de los clientes para protegerse. La empresa también ha enfatizado que, aunque el problema no permitía el acceso a datos entre inquilinos, la infraestructura compartida entre inquilinos en Copilot Studio potencialmente afectaba a varios clientes al permitir un acceso elevado a la infraestructura interna de Microsoft.
Esta corrección llega poco después de que Tenable revelara dos fallas de seguridad en el Azure Health Bot Service de Microsoft (CVE-2024-38109), que también fueron parcheadas. Estas vulnerabilidades, con una puntuación CVSS de 9.1, podrían haber permitido a un actor malicioso moverse lateralmente dentro de los entornos de los clientes y acceder a datos confidenciales de pacientes.
Además, Microsoft ha anunciado que, a partir de octubre de 2024, todos los clientes de Microsoft Azure deberán habilitar la autenticación multifactor (MFA) en sus cuentas como parte de su Iniciativa de Futuro Seguro (SFI). La implementación de MFA será gradual y se aplicará a diversos servicios y herramientas de Azure, incluidos el portal de Azure, el centro de administración de Microsoft Entra y el centro de administración de Intune.
Con estas medidas, Microsoft busca reforzar la seguridad y prevenir futuras vulnerabilidades en sus servicios, reafirmando su compromiso con la protección de datos y la seguridad de sus clientes.
Fuente: the Hacker news
