Copilot Studio: Microsoft-Tool lässt bereitwillig Kundendaten leaken
Sicherheitsforscher haben eine Schwachstelle in Microsofts Copilot Studio entdeckt, die es ihnen ermöglichte, externe HTTP-Anfragen zu stellen und dadurch sensible Informationen über interne Dienste in den Datenzentren des Software-Konzerns zu erhalten.
Laut Microsoft ermöglicht die Schwachstelle einem authentifizierten Angreifer, die SSRF-Schutzmechanismen in Copilot Studio zu umgehen und sensible cloudbasierte Informationen über ein Netzwerk zu leaken. SSRF-Schwachstellen treten auf, wenn ein Angreifer eine Anwendung dazu bringen kann, serverseitige HTTP-Anfragen an unerwartete Ziele oder auf unerwartete Weise zu stellen.
Die Forscher von Tenable testeten ihren Exploit, um HTTP-Anfragen zu erstellen und auf Cloud-Daten und -Dienste mehrerer Kunden zuzugreifen. Microsoft reagierte schnell auf die Meldung der Schwachstelle durch Tenable und hat das Problem inzwischen vollständig behoben, ohne dass Maßnahmen vonseiten der Nutzer von Copilot Studio erforderlich sind.
Die Entdeckung dieser SSRF-Schwachstelle in Copilot Studio unterstreicht die potenziellen Risiken, die mit der Möglichkeit verbunden sind, HTTP-Anfragen zu stellen. Diese Funktion kann von Angreifern missbraucht werden, um Zugriff auf sensible Cloud-Daten und -Ressourcen zu erlangen, wenn sie nicht ordnungsgemäß gesichert ist. Dies sollte als Warnung für alle Nutzer von Copilot Studio dienen, um die Sicherheitsmaßnahmen ihrer Anwendungen sorgfältig zu prüfen.
Siehe auch:
Microsoft reagiert schnell
Diese Sicherheitslücke, die als CVE-2024-38206 vermerkt ist, könnte Auswirkungen auf Azure-Kunden Microsofts haben. Entdeckt wurde das Problem durch Experten des Unternehmens Tenable. Laut diesen betrifft es die Server-Side Request Forgery (SSRF) im Tool zur Erstellung von KI-Chatbots. Diese Schwachstelle erlaubte es den Forschern, auf Microsofts interne Infrastruktur zuzugreifen, einschließlich des Instance Metadata Service (IMDS) und interner Cosmos DB-Instanzen.Laut Microsoft ermöglicht die Schwachstelle einem authentifizierten Angreifer, die SSRF-Schutzmechanismen in Copilot Studio zu umgehen und sensible cloudbasierte Informationen über ein Netzwerk zu leaken. SSRF-Schwachstellen treten auf, wenn ein Angreifer eine Anwendung dazu bringen kann, serverseitige HTTP-Anfragen an unerwartete Ziele oder auf unerwartete Weise zu stellen.
Die Forscher von Tenable testeten ihren Exploit, um HTTP-Anfragen zu erstellen und auf Cloud-Daten und -Dienste mehrerer Kunden zuzugreifen. Microsoft reagierte schnell auf die Meldung der Schwachstelle durch Tenable und hat das Problem inzwischen vollständig behoben, ohne dass Maßnahmen vonseiten der Nutzer von Copilot Studio erforderlich sind.
Deutliche Warnung
Copilot Studio wurde Ende letzten Jahres als benutzerfreundliches Tool zur Erstellung von KI-gestützten Chatbots eingeführt. Diese Anwendungen ermöglichen es, verschiedene Aufgaben in Verbindung mit großen Sprachmodellen und generativer KI zu erledigen. Allerdings wurden bereits bei der ersten Veröffentlichung des Tools Sicherheitsbedenken geäußert, die die Überberechtigung der Anwendung betrafen.Die Entdeckung dieser SSRF-Schwachstelle in Copilot Studio unterstreicht die potenziellen Risiken, die mit der Möglichkeit verbunden sind, HTTP-Anfragen zu stellen. Diese Funktion kann von Angreifern missbraucht werden, um Zugriff auf sensible Cloud-Daten und -Ressourcen zu erlangen, wenn sie nicht ordnungsgemäß gesichert ist. Dies sollte als Warnung für alle Nutzer von Copilot Studio dienen, um die Sicherheitsmaßnahmen ihrer Anwendungen sorgfältig zu prüfen.
Zusammenfassung
- Schwachstelle CVE-2024-38206 in Microsofts Copilot Studio gefunden
- Ermöglichte externe HTTP-Anfragen und Zugriff auf interne Daten
- Betrifft Server-Side Request Forgery im KI-Chatbot-Tool
- Forscher von Tenable entdeckten und testeten den Exploit
- Microsoft hat die Sicherheitslücke bereits vollständig behoben
- Keine Maßnahmen für Nutzer von Copilot Studio erforderlich
- Sicherheitsrisiken bei der Erstellung von HTTP-Anfragen hervorgehoben
Siehe auch:
Thema:
Beliebte Downloads
Videos zum Thema Cloud
Beiträge aus dem Forum
-
Nextcloud und IONOS bringen am 9. Juni die erste stabile Version
Ler-Khun -
LibreOffice-News: Office bald in Browser, Mobile und Cloud
Ler-Khun -
Droid2PC: Android und Mac sinnvoll ohne Cloud-Zwang verbinden
Droid2PC_DE -
Nextcloud-Server auf einem Raspberry Pi betreiben
d-hubs -
#CloudFest Hackathon :: vom 20-22. März '26
d-hubs -
Datei öffnen dauert 30 Sekunden OneDrive
haylebob -
immich - Open-Source-Software: eine komplette Foto-Cloud
d-hubs -
Nextcloud Talk: MS-Teams Alternat., Open Source & DSGVO-kompatibel
d-hubs -
Office 365 Anmelden geht nicht
nitewish -
OneDrive speicherung von Dateiversionen
SeBu
Interessante Links
Beliebt im Preisvergleich
- NAS-Systeme:
Neue Nachrichten
- Fernsehen für 4,99 Euro: Das sind die neuen Waipu.tv WM-Angebote
- KI verbieten? Nicht in Estland, das schenkt Tausenden Schülern ChatGPT
- "Chat ist tot": OpenAI plant massiven Umbau der ChatGPT-Dienste
- Nintendo Switch 2: Media Markt verkauft Konsole heute zum Tiefpreis
- AMD RDNA 5: Release neuer Radeon-Grafikkarten verzögert sich massiv
- Faltbares iPhone: Neue Dummy-Bilder enthüllen Design und Funktionen
- Aktion endet heute: Nur 25 Euro für Unlimited-Tarif im Telekom-Netz
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon