Скрытые угрозы: Уязвимость Microsoft Copilot угрожает безопасности данных

Недавно выявленная уязвимость M365 Copilot дает возможность пользователям обращаться к данным о файлах, не фиксируя свои действия в журнале аудита. Эта проблема проявилась случайно и не является следствием какой-либо сложной атаки.

Зак Корман, технический директор компании Pistachio, отметил, что данный баг может быть использован злоумышленниками внутри организации для скрытого получения доступа к чувствительной информации, что представляет собой серьезную угрозу для компаний, которые зависят от точности аудиторских записей для обеспечения безопасности, соблюдения регуляторных норм и реагирования на инциденты.

Корман сообщил о проблеме в Microsoft, и вскоре компания выпустила патч для устранения уязвимости в Copilot. Он решил сам раскрыть информацию об уязвимости, поскольку Microsoft указала, что сообщать об этом клиентам не будет.

Как отметил эксперт, MSRC (Центр реагирования на угрозы безопасности Microsoft) не следовал своей опубликованной политике в процессе обработки сообщений об уязвимостях. Статус сообщения изменили некорректным образом и без должного объяснения. Изначально в MSRC утверждали, что номер CVE не будет выдан, так как клиентам не требуется предпринимать никаких действий. Уязвимость была охарактеризована как «серьезная», а не «критическая».

Корман выразил мнение, что молчание Microsoft создает трудности для организаций, находящихся под действием HIPAA (Закон о переносимости и подотчетности медицинского страхования) и использующих аудиторские записи для соблюдения нормативных требований.

Недостаточные данные в журнале аудита могут привести к серьезным последствиям для организаций, касающимся выявления, расследования и ответных мер на инциденты. Поведение Microsoft вызывает вопросы о ее ответственности перед пользователями, особенно с учетом легкости активации уязвимости. Теперь компаниям может потребоваться внимательно проверить последние отчеты о своих аудиторских записях на предмет возможных недостатков или ошибок.

Тем временем, на конференции Black Hat исследователи отметили, что искусственный интеллект и методы его защиты возвращают кибербезопасность к уровням 90-х годов. Они продемонстрировали способы внедрения вредоносных данных в ИИ-агенты, аналогичных SQL-инъекциям. Это создает уязвимости, позволяющие извлекать важные данные с помощью промптов без необходимости взлома кода.