1. 科技訊首頁(yè)
  2. 新聞

微軟Copilot Studio曝安全漏洞,SSRF風(fēng)險(xiǎn)致云數(shù)據(jù)泄露

Microsoft ? ? 新聞
微軟Copilot Studio曝安全漏洞,SSRF風(fēng)險(xiǎn)致云數(shù)據(jù)泄露

近日,外媒報(bào)道報(bào)道,微軟旗下的Copilot Studio AI平臺(tái)被發(fā)現(xiàn)存在嚴(yán)重的服務(wù)器端請(qǐng)求偽造(SSRF)安全漏洞,該漏洞可能導(dǎo)致敏感云數(shù)據(jù)被非法訪問(wèn)和泄露。

Copilot Studio簡(jiǎn)介

Copilot Studio是微軟推出的一款創(chuàng)新AI工具,旨在通過(guò)自然語(yǔ)言或圖形界面幫助用戶輕松創(chuàng)建和定制個(gè)性化助手,以滿足不同內(nèi)部或外部場(chǎng)景的需求。該平臺(tái)以其端到端的對(duì)話式交互能力和高度定制化的功能,在業(yè)界備受關(guān)注。

漏洞詳情

據(jù)Tenable公司的安全研究人員披露,他們?cè)谏钊敕治鯟opilot Studio時(shí),發(fā)現(xiàn)了這一嚴(yán)重的SSRF漏洞。SSRF漏洞允許攻擊者誘導(dǎo)服務(wù)器發(fā)起對(duì)外部資源的請(qǐng)求,從而繞過(guò)正常的訪問(wèn)控制,訪問(wèn)到內(nèi)部網(wǎng)絡(luò)或敏感服務(wù)的數(shù)據(jù)。

在此次發(fā)現(xiàn)中,研究人員成功利用該漏洞,訪問(wèn)了微軟的內(nèi)部基礎(chǔ)架構(gòu),包括實(shí)例元數(shù)據(jù)服務(wù)(IMDS)和內(nèi)部Cosmos DB數(shù)據(jù)庫(kù)實(shí)例等敏感資源。這一發(fā)現(xiàn)不僅揭示了Copilot Studio在安全防護(hù)上的薄弱環(huán)節(jié),也凸顯了云環(huán)境下數(shù)據(jù)保護(hù)的重要性。

微軟已正式將該漏洞標(biāo)記為CVE-2024-38206,并在安全公告中確認(rèn),經(jīng)過(guò)驗(yàn)證的攻擊者能夠繞過(guò)Copilot Studio內(nèi)置的SSRF保護(hù)措施,通過(guò)網(wǎng)絡(luò)途徑泄露基于云的敏感信息。

應(yīng)對(duì)措施

面對(duì)這一安全威脅,微軟表示已采取緊急措施,修復(fù)該漏洞并加強(qiáng)Copilot Studio的安全防護(hù)機(jī)制。同時(shí),微軟建議所有使用Copilot Studio的用戶盡快更新至最新版本,以確保自身數(shù)據(jù)的安全。

此外,微軟還呼吁用戶加強(qiáng)云環(huán)境的安全管理,包括定期審查訪問(wèn)權(quán)限、實(shí)施嚴(yán)格的安全策略和監(jiān)控機(jī)制等,以防范類似的安全漏洞被惡意利用。

結(jié)語(yǔ)

隨著云計(jì)算和AI技術(shù)的飛速發(fā)展,企業(yè)在享受其帶來(lái)的便利和效率提升的同時(shí),也面臨著日益復(fù)雜的安全挑戰(zhàn)。微軟Copilot Studio此次曝出的SSRF漏洞再次提醒我們,保障數(shù)據(jù)安全是技術(shù)創(chuàng)新的基石。只有不斷加強(qiáng)安全防護(hù)、提升安全意識(shí),才能確保在數(shù)字化轉(zhuǎn)型的道路上穩(wěn)健前行。

原創(chuàng)文章,作者:Microsoft,如若轉(zhuǎn)載,請(qǐng)注明出處:http://2079x.cn/article/675412.html

Microsoft的頭像Microsoft認(rèn)證作者

相關(guān)推薦

發(fā)表回復(fù)

登錄后才能評(píng)論