1. 科技訊首頁
  2. 新聞

微軟Copilot Studio曝安全漏洞,SSRF風(fēng)險致云數(shù)據(jù)泄露

Microsoft ? ? 新聞
微軟Copilot Studio曝安全漏洞,SSRF風(fēng)險致云數(shù)據(jù)泄露

近日,外媒報道報道,微軟旗下的Copilot Studio AI平臺被發(fā)現(xiàn)存在嚴(yán)重的服務(wù)器端請求偽造(SSRF)安全漏洞,該漏洞可能導(dǎo)致敏感云數(shù)據(jù)被非法訪問和泄露。

Copilot Studio簡介

Copilot Studio是微軟推出的一款創(chuàng)新AI工具,旨在通過自然語言或圖形界面幫助用戶輕松創(chuàng)建和定制個性化助手,以滿足不同內(nèi)部或外部場景的需求。該平臺以其端到端的對話式交互能力和高度定制化的功能,在業(yè)界備受關(guān)注。

漏洞詳情

據(jù)Tenable公司的安全研究人員披露,他們在深入分析Copilot Studio時,發(fā)現(xiàn)了這一嚴(yán)重的SSRF漏洞。SSRF漏洞允許攻擊者誘導(dǎo)服務(wù)器發(fā)起對外部資源的請求,從而繞過正常的訪問控制,訪問到內(nèi)部網(wǎng)絡(luò)或敏感服務(wù)的數(shù)據(jù)。

在此次發(fā)現(xiàn)中,研究人員成功利用該漏洞,訪問了微軟的內(nèi)部基礎(chǔ)架構(gòu),包括實例元數(shù)據(jù)服務(wù)(IMDS)和內(nèi)部Cosmos DB數(shù)據(jù)庫實例等敏感資源。這一發(fā)現(xiàn)不僅揭示了Copilot Studio在安全防護(hù)上的薄弱環(huán)節(jié),也凸顯了云環(huán)境下數(shù)據(jù)保護(hù)的重要性。

微軟已正式將該漏洞標(biāo)記為CVE-2024-38206,并在安全公告中確認(rèn),經(jīng)過驗證的攻擊者能夠繞過Copilot Studio內(nèi)置的SSRF保護(hù)措施,通過網(wǎng)絡(luò)途徑泄露基于云的敏感信息。

應(yīng)對措施

面對這一安全威脅,微軟表示已采取緊急措施,修復(fù)該漏洞并加強(qiáng)Copilot Studio的安全防護(hù)機(jī)制。同時,微軟建議所有使用Copilot Studio的用戶盡快更新至最新版本,以確保自身數(shù)據(jù)的安全。

此外,微軟還呼吁用戶加強(qiáng)云環(huán)境的安全管理,包括定期審查訪問權(quán)限、實施嚴(yán)格的安全策略和監(jiān)控機(jī)制等,以防范類似的安全漏洞被惡意利用。

結(jié)語

隨著云計算和AI技術(shù)的飛速發(fā)展,企業(yè)在享受其帶來的便利和效率提升的同時,也面臨著日益復(fù)雜的安全挑戰(zhàn)。微軟Copilot Studio此次曝出的SSRF漏洞再次提醒我們,保障數(shù)據(jù)安全是技術(shù)創(chuàng)新的基石。只有不斷加強(qiáng)安全防護(hù)、提升安全意識,才能確保在數(shù)字化轉(zhuǎn)型的道路上穩(wěn)健前行。

原創(chuàng)文章,作者:Microsoft,如若轉(zhuǎn)載,請注明出處:http://rponds.cn/article/675412.html

Microsoft的頭像Microsoft認(rèn)證作者

相關(guān)推薦

發(fā)表回復(fù)

登錄后才能評論