iOS 18 permite controlar dispositivos Matter sin necesidad de un hub de hogar inteligente.

iOS 18 permite controlar dispositivos Matter sin necesidad de un hub de hogar inteligente.

Cover Image for Microsoft corrige una vulnerabilidad de seguridad grave en Copilot Studio que podría haber expuesto información privada.

Microsoft corrige una vulnerabilidad de seguridad grave en Copilot Studio que podría haber expuesto información privada.

El problema surge de la capacidad de Copilot para realizar solicitudes a sitios web externos.

Un problema de seguridad ha sido identificado en Microsoft Copilot Studio, lo que podría haber permitido a actores maliciosos exfiltrar datos sensibles desde puntos vulnerables, según expertos en ciberseguridad. Evan Grant, investigador de Tenable, fue quien descubrió y reportó esta vulnerabilidad, caracterizada como un defecto de divulgación de información vinculado a un ataque de falsificación de solicitudes del lado del servidor (SSRF), y catalogada como CVE-2024-38206 con un puntaje de severidad de 8.5.

Copilot Studio es una plataforma de inteligencia artificial conversacional que permite a los usuarios crear y personalizar asistentes virtuales utilizando lenguaje natural o una interfaz gráfica. Microsoft ha implementado un parche para corregir esta falla.

Grant explicó que esta vulnerabilidad explota una función de Copilot que realiza solicitudes a sitios web externos. "Combinado con un bypass de protección de SSRF útil, utilizamos esta falla para obtener acceso a la infraestructura interna de Microsoft para Copilot Studio, incluyendo el Servicio de Metadatos de Instancia (IMDS) y las instancias internas de Cosmos DB", afirmó el investigador.

En términos sencillos, Grant logró extraer los metadatos de instancia en los mensajes de chat de Copilot y utilizarlos para obtener tokens de acceso a identidades administradas. Estos tokens le permitieron acceder a otros recursos internos y ejecutar operaciones de lectura/escritura en una instancia de Cosmos DB.

Microsoft, en un aviso oficial, reconoció la existencia del problema y señaló que "un atacante autenticado puede eludir la protección de falsificación de solicitudes del lado del servidor (SSRF) en Microsoft Copilot Studio para filtrar información sensible a través de una red". Aseguraron que no hay acción necesaria por parte de los usuarios, ya que la resolución de este problema se gestiona internamente.

Aunque esta falla permite a los delincuentes acceder a datos sensibles, no les otorga acceso a información de múltiples inquilinos. Sin embargo, dado que la infraestructura de Copilot Studio es compartida entre varios inquilinos, teóricamente esto podría afectar a múltiples clientes en caso de que obtengan acceso elevado a la infraestructura de Microsoft.

Microsoft Copilot Studio forma parte de la iniciativa más amplia de Copilot de la compañía, que integra herramientas impulsadas por inteligencia artificial en su suite de software. Anunciada en 2023, Copilot Studio permite a las organizaciones y desarrolladores personalizar el comportamiento de Copilot según sus necesidades específicas.

  • Microsoft
  • Ciberseguridad
  • Copilot Studio
Espía norcoreano logra infiltrarse en una empresa de formación en ciberseguridad con credenciales robadas y una VPN falsa: consejos para evitar ser víctima.
|