L’esperto di cybersecurity Evan Grant di Tenable ha individuato e segnalato un bug di sicurezza relativo a Microsoft Copilot Studio.
Stiamo parlando di una vulnerabilità che avrebbe potuto consentire a criminali informatici di esfiltrare dati sensibili dai computer degli utenti. L’exploit in questione, identificato con il codice CVE-2024-38206 ha ottenuto un punteggio di gravità pari a 8,5 su 10. Secondo la ricerca di Grant, attraverso un difetto di programmazione è possibile sfruttare richieste Web esterne a Copilot, ottenendo accesso a dati riservati presenti sull’endpoint.
Estraendo i metadati nell’istanza della chat di Copilot, questi possono essere sfruttati per ottenere token di accesso per il profilo dell’utente. Una volta ottenuto questo privilegio è facile accedere a qualunque tipo di informazione presente in locale.
Copilot Studio: Microsoft ha individuato il problema e sta procedendo con la correzione dello stesso
Anche Microsoft ha confermato la criticità del bug di sicurezza individuato. Secondo la comunicazione ufficiale “Un aggressore autenticato può aggirare la protezione Server-Side Request Forgery (SSRF) di Microsoft Copilot Studio per estrarre informazioni sensibili da una rete“. La compagnia di Redmond è intervenuta correggendo il bug senza alcun intervento da parte degli utenti.
Microsoft Copilot Studio fa parte del più ampio contesto di Copilot, che integra diversi strumenti basati sull’Intelligenza Artificiale. Nello specifico Copilot Studio permette alle organizzazioni e agli sviluppatori di adattare il comportamento di Copilot alle loro esigenze specifiche. Proprio per il suo utilizzo in ambito aziendale, una vulnerabilità come quella di cui abbiamo appena parlato risulta alquanto preoccupante.
Non è la prima volta che Microsoft e i suoi strumenti hanno a che fare con vulnerabilità critiche. Giusto qualche giorno fa, per esempio, la compagnia ha dovuto fare i conti con un exploit in ambiente Windows sfruttato dal gruppo hacker noto come Lazarus.