La vulnerabilità ha ricevuto un punteggio CVSS di 8.5 ed è stata classificata con la dicitura “divulgazione di informazioni“. Ma come funziona? Si basa su una tecnica di attacco denominata “Server-Side Request Forgery“. La falla è emersa dalla capacità di Copilot di effettuare delle richieste esterne. Ciò ha permesso ai malintenzionati di sfruttare la possibilità con un bypass delle protezioni SSRF. In tal modo hanno ottenuto l’accesso all’infrastruttura di Copilot Studio.
A scoprire la falla è stato un ricercatore
di sicurezza che ha evidenziato come l’attacco si basava sul recupero di metadati. Con il sistema ideato si cercava di ottenere token di accesso che venivano poi usati per entrare a conoscenza di risorse interne. Con un accesso “privilegiato” all’infrastruttura di Copilot Studio i malintenzionati potevano colpire contemporaneamente più utenti dato che quest’ultima è condivisa tra più clienti.Microsoft è intervenuta immediatamente sulla questione, rilasciando un aggiornamento che possa risolvere la falla e mettere in sicurezza l’esperienza degli utenti su Copilot Studio. Riguardo anche ad altre due vulnerabilità scovate, l’azienda di Redmond ha annunciato l’arrivo dell’autenticazione a più fattori (MFA). La sua diffusione partirà ad ottobre 2024 e si diffonderà a diversi servizi e strumenti. Un intervento utile che dimostra l’impegno di Microsoft di garantire la privacy e la sicurezza dei suoi utenti sia durante l’uso di Copilot Studio che per tutti gli altri servizi messi a disposizione dall’azienda di Redmond.