Free

Microsoft flickt kritische Sicherheitslücke in Copilot Studio

Eine neu entdeckte kritische Sicherheitslücke in Microsofts Copilot Studio öffnet Datendieben Wege, um an sensible Informationen zu gelangen. Sie resultiert aus einem Fehler, der durch einen Angriff mittels Server-Side Request Forgery (SSRF) ausgenutzt werden kann.

Die neue Sicherheitslücke wird unter der Bezeichnung CVE-2024-38206 (CVSS-Score: 8.5) geführt. Laut einem am 6. August 2024 von Microsoft veröffentlichten Bericht kann ein authentifizierter Angreifer den SSRF-Schutz von Copilot Studio umgehen und dadurch sensible Informationen über ein Netzwerk weitergeben. Microsoft hat die Schwachstelle bereits behoben, sodass keine weiteren Maßnahmen von Kunden erforderlich sind.

Der Sicherheitsexperte Evan Grant von Tenable, der die Schwachstelle entdeckt und gemeldet hat, erklärte, dass die Schwachstelle die Fähigkeit von Copilot ausnutzt, externe Webanfragen zu stellen. „In Kombination mit einer Umgehung des SSRF-Schutzes haben wir diese Schwachstelle genutzt, um auf die interne Infrastruktur von Microsofts Copilot Studio zuzugreifen, einschließlich des Instance Metadata Service (IMDS) und interner Cosmos DB-Instanzen“, so Grant.

Einfach ausgedrückt, ermöglichte diese Angriffstechnik, Metadaten über eine Copilot-Chat-Nachricht abzurufen und damit Zugangstokens zu erhalten, die dann missbraucht werden konnten, um auf andere interne Ressourcen zuzugreifen, einschließlich Lese- und Schreibzugriff auf eine Cosmos DB-Instanz.

Das Cybersicherheitsunternehmen betonte außerdem, dass dieser Ansatz zwar keinen Zugriff auf Informationen anderer Kunden erlaubt, die Infrastruktur von Copilot Studio jedoch von mehreren Kunden gemeinsam genutzt wird. Wenn also ein Angreifer erhöhten Zugriff auf die interne Microsoft-Infrastruktur erlangt, könnten potenziell mehrere Kunden betroffen sein.

Die Enthüllung kommt kurz nachdem Tenable zwei schwerwiegende Sicherheitslücken im Azure Health Bot Service von Microsoft aufgedeckt hat. Diese Lücken, die inzwischen behoben wurden, hätten es Angreifern ermöglicht, sich in den Umgebungen von Kunden zu bewegen und auf sensible Patientendaten zuzugreifen.

Zusätzlich hat Microsoft angekündigt, dass ab Oktober 2024 alle Azure-Kunden im Rahmen der Secure Future Initiative (SFI) die Multi-Faktor-Authentifizierung (MFA) für ihre Konten aktivieren müssen. Zunächst wird MFA für die Anmeldung bei Diensten wie dem Azure-Portal, Microsoft Entra Admin Center und Intune Admin Center verpflichtend. Ab Anfang 2025 soll die MFA-Anforderung schrittweise auch auf weitere Tools wie Azure CLI, Azure PowerShell, die Azure Mobile App und Infrastructure as Code- (IaC)Tools ausgeweitet werden.

Diesen Beitrag teilen: