1. 科技訊首頁
  2. 新聞

微軟Copilot Studio曝安全漏洞,SSRF風險致云數(shù)據(jù)泄露

Microsoft ? ? 新聞
微軟Copilot Studio曝安全漏洞,SSRF風險致云數(shù)據(jù)泄露

近日,外媒報道報道,微軟旗下的Copilot Studio AI平臺被發(fā)現(xiàn)存在嚴重的服務器端請求偽造(SSRF)安全漏洞,該漏洞可能導致敏感云數(shù)據(jù)被非法訪問和泄露。

Copilot Studio簡介

Copilot Studio是微軟推出的一款創(chuàng)新AI工具,旨在通過自然語言或圖形界面幫助用戶輕松創(chuàng)建和定制個性化助手,以滿足不同內部或外部場景的需求。該平臺以其端到端的對話式交互能力和高度定制化的功能,在業(yè)界備受關注。

漏洞詳情

據(jù)Tenable公司的安全研究人員披露,他們在深入分析Copilot Studio時,發(fā)現(xiàn)了這一嚴重的SSRF漏洞。SSRF漏洞允許攻擊者誘導服務器發(fā)起對外部資源的請求,從而繞過正常的訪問控制,訪問到內部網(wǎng)絡或敏感服務的數(shù)據(jù)。

在此次發(fā)現(xiàn)中,研究人員成功利用該漏洞,訪問了微軟的內部基礎架構,包括實例元數(shù)據(jù)服務(IMDS)和內部Cosmos DB數(shù)據(jù)庫實例等敏感資源。這一發(fā)現(xiàn)不僅揭示了Copilot Studio在安全防護上的薄弱環(huán)節(jié),也凸顯了云環(huán)境下數(shù)據(jù)保護的重要性。

微軟已正式將該漏洞標記為CVE-2024-38206,并在安全公告中確認,經(jīng)過驗證的攻擊者能夠繞過Copilot Studio內置的SSRF保護措施,通過網(wǎng)絡途徑泄露基于云的敏感信息。

應對措施

面對這一安全威脅,微軟表示已采取緊急措施,修復該漏洞并加強Copilot Studio的安全防護機制。同時,微軟建議所有使用Copilot Studio的用戶盡快更新至最新版本,以確保自身數(shù)據(jù)的安全。

此外,微軟還呼吁用戶加強云環(huán)境的安全管理,包括定期審查訪問權限、實施嚴格的安全策略和監(jiān)控機制等,以防范類似的安全漏洞被惡意利用。

結語

隨著云計算和AI技術的飛速發(fā)展,企業(yè)在享受其帶來的便利和效率提升的同時,也面臨著日益復雜的安全挑戰(zhàn)。微軟Copilot Studio此次曝出的SSRF漏洞再次提醒我們,保障數(shù)據(jù)安全是技術創(chuàng)新的基石。只有不斷加強安全防護、提升安全意識,才能確保在數(shù)字化轉型的道路上穩(wěn)健前行。

原創(chuàng)文章,作者:Microsoft,如若轉載,請注明出處:http://2079x.cn/article/675412.html

Microsoft的頭像Microsoft認證作者

相關推薦

發(fā)表回復

登錄后才能評論