Source: Slashdot
研究人员利用微软Copilot Studio工具中的漏洞进行外部HTTP请求,访问云环境内部服务的敏感信息,可能影响多个租户。安全研究员在聊天机器人创建工具中发现了服务器端请求伪造漏洞,利用该漏洞访问微软的内部基础设施,包括实例元数据服务(IMDS)和内部Cosmos DB实例。
漏洞让经过身份验证的攻击者能够绕过SSRF保护,泄露敏感云信息到网络。漏洞产生在利用工具创建HTTP请求并绕过SSRF保护时。
研究人员测试了利用漏洞访问来自多个租户的云数据和服务的HTTP请求,发现尽管未立即访问到跨租户信息,但用于Copilot Studio服务的基础设施是共享的,影响该基础设施可能会影响多个客户。研究人员还发现他们可以使用漏洞访问其他内部主机,无需受到与之属于同一本地子网的实例的限制。
微软迅速回应Tenable关于漏洞的通知,并已完全消除漏洞,Copilot Studio用户无需采取任何行动。
保护云数据安全,加强应用漏洞修复,才能确保云环境中重要信息不被非法访问。"
}
```
特别声明:本文及配图均为用户上传或者转载,本文仅代表作者个人观点和立场,不代表平台观点。其原创性以及文中陈述文字和内容未经本站证实,
对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本平台不作任何保证或承诺,请读者仅作参考,
并请自行核实相关内容。如发现稿件侵权,或作者不愿在本平台发布文章,请版权拥有者通知本平台处理。
Copyright Disclaimer: The copyright of contents (including texts, images, videos and audios)
posted above belong to the User who shared or the third-party website which the User shared from.
If you found your copyright have been infringed, please send a DMCA takedown notice to
info@microheadline.com
来源:https://yro.slashdot.org/story/24/08/21/1947215/microsoft-copilot-studio-exploit-leaks-sensitive-cloud-data?utm_source=rss1.0mainlinkanon&utm_medium=feed
https://cybernews.com/security/black-hat-microsoft-copilot-data-leak/
https://www.reddit.com/r/microsoft/comments/121r1ye/will_copilot_run_through_microsofts_servers_does/
