21 de agosto de 2024Ravie LakshmananSeguridad de software / Vulnerabilidad Los investigadores de ciberseguridad han revelado una falla de seguridad crítica que afecta a Copilot Studio de Microsoft y que podría explotarse para acceder a información confidencial. Identificada como CVE-2024-38206 (puntuación CVSS: 8,5), la vulnerabilidad se ha descrito como un error de divulgación de información que se deriva de un ataque de falsificación de solicitud del lado del servidor (SSRF). «Un atacante autenticado puede eludir la protección de falsificación de solicitud del lado del servidor (SSRF) en Microsoft Copilot Studio para filtrar información confidencial a través de una red», dijo Microsoft en un aviso publicado el 6 de agosto de 2024. El gigante tecnológico dijo además que la vulnerabilidad se ha solucionado y que no requiere ninguna acción por parte del cliente. El investigador de seguridad de Tenable Evan Grant, a quien se le atribuye el descubrimiento y el informe de la deficiencia, dijo que aprovecha la capacidad de Copilot para realizar solicitudes web externas. «Combinado con una útil omisión de protección SSRF, utilizamos esta falla para obtener acceso a la infraestructura interna de Microsoft para Copilot Studio, incluido el Servicio de metadatos de instancia (IMDS) y las instancias internas de Cosmos DB», dijo Grant. Dicho de otro modo, la técnica de ataque hizo posible recuperar los metadatos de la instancia en un mensaje de chat de Copilot, utilizándolos para obtener tokens de acceso de identidad administrados, que luego podrían usarse para acceder a otros recursos internos, incluido el acceso de lectura/escritura a una instancia de Cosmos DB. La empresa de ciberseguridad señaló además que, si bien el enfoque no permite el acceso a la información entre inquilinos, la infraestructura que impulsa el servicio Copilot Studio se comparte entre los inquilinos, lo que potencialmente afecta a varios clientes cuando tienen acceso elevado a la infraestructura interna de Microsoft. La divulgación se produce cuando Tenable detalló dos fallas de seguridad ahora parcheadas en el Servicio de bots de salud de Azure de Microsoft (CVE-2024-38109, puntuación CVSS: 9,1), que, si se explotan, podrían permitir que un actor malintencionado logre un movimiento lateral dentro de los entornos de los clientes y acceda a datos confidenciales de los pacientes. También sigue a un anuncio de Microsoft de que requerirá que todos los clientes de Microsoft Azure tengan habilitada la autenticación multifactor (MFA) en sus cuentas a partir de octubre de 2024 como parte de su Iniciativa de Futuro Seguro (SFI). «Se requerirá MFA para iniciar sesión en el portal de Azure, el centro de administración de Microsoft Entra y el centro de administración de Intune. La aplicación se implementará gradualmente para todos los inquilinos en todo el mundo», dijo Redmond. «A principios de 2025, comenzará la aplicación gradual de MFA en el inicio de sesión para Azure CLI, Azure PowerShell, la aplicación móvil de Azure y las herramientas de Infraestructura como código (IaC)». ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.