微软 Copilot Studio 存在 SSRF 安全漏洞 敏感云数据面临泄露风险
近日,据科技媒体 DarkReading 发布了一篇博文,揭露了微软 Copilot Studio 存在的一个严重安全漏洞,该漏洞可能导致敏感的云数据泄露。该漏洞涉及服务器端请求伪造(SSRF),对多个租户的安全性产生了潜在的威胁。
Tenable 的研究人员在 Copilot Studio 的聊天机器人创建工具中发现了一个 SSRF 漏洞。该漏洞允许攻击者发出外部 HTTP 请求,从而访问云环境中关于内部服务的敏感信息,甚至可能影响到多个租户。
具体而言,研究人员利用这一漏洞,能够访问微软的内部基础架构,包括实例元数据服务(IMDS)和内部的 Cosmos DB 实例。此漏洞被微软追踪为 CVE-2024-38206,并已发布相关的安全公告。
根据公告,经过验证的攻击者可以绕过 Copilot Studio 中现有的 SSRF 保护机制,利用该漏洞在网络上泄露基于云的敏感信息。虽然目前尚未报告有大规模的攻击利用此漏洞,但它的存在已引起了广泛关注。
目前,微软正在积极采取措施修复该漏洞,并建议所有使用 Copilot Studio 的用户尽快应用更新以防止潜在的安全风险。微软还强调,保护用户数据安全是他们的首要任务,他们将继续努力改进平台的安全性。
Copilot Studio 是微软推出的一款端到端对话式 AI 平台,旨在帮助用户通过自然语言或图形界面轻松创建和自定义助手。该工具被广泛应用于设计、测试和发布满足内部或外部场景需求的对话式 AI 助手。