Kritische Schwachstelle in Microsoft Copilot Studio

Diese Schwachstelle ermöglichte den Forschern Zugriff auf potenziell sensible Daten zu internen Vorgängen des Service mit potenziell Tenant-übergreifendem Impact. Die Schwachstelle ist auf unsachgemäßes Handling von Redirect-Status-Codes für benutzerkonfigurierbare Aktionen innerhalb von Copilot Studio zurückzuführen. Erst jüngst hatte das Team Schwachstellen im Microsoft Azure Health Bot Service, in Azure Service Tags und drei Schwachstellen im Azure API Management Service entdeckt.

Versand von serverseitigen HTTP-Requests

Eine SSRF-Schwachstelle ermöglicht es einem Angreifer, eine Anwendung so zu manipulieren, dass sie serverseitige HTTP-Requests an nicht intendierte Ziele oder auf nicht intendierte Art und Weise sendet: So könnte er beispielsweise eine Anwendung auf einem Remote-Host dazu zwingen, Requests an einen nicht intendierten Speicherort zu senden. Ist ein Angreifer in der Lage, das Ziel dieser Requests zu kontrollieren, kann er sie an eine sensible interne Ressource senden, auf die zwar die serverseitige Anwendung Zugriff hat, der Angreifer jedoch nicht – und so potenziell sensible Daten offengelegen. Durch Ausnutzung dieser Schwachstelle hätte ein böswilliger Akteur auf die interne Infrastruktur von Copilot Studio zugreifen können, eine von Kunden gemeinsam genutzte Umgebung. Dies wiederum hätte Zugriff auf den Instance Metadata Service (IMDS) von Azure, Access-Token für die Umgebung und letztendlich weiteren Zugriff auf andere gemeinsam genutzte Ressourcen ermöglichen können – etwa eine Cosmos DB, in der sensible Daten zu internen Vorgängen von Copilot Studio gespeichert sind.

„Wenn es um Cloud-Anwendungen geht, ist der Instance Metadata Service (IMDS) ein attraktives Ziel – nicht zuletzt, weil er Angreifern, je nach Cloud-Plattform, nützliche und potenziell sensible Informationen liefern kann. In diesem Fall konnten wir gemanagte Identity-Access-Token aus dem IMDS abgreifen. Über die Nutzung von Copilot Studio hinaus waren keine Kenntnisse erforderlich, um diese Schwachstelle auszunutzen“, erklärt Jimi Sebree von Tenable. „Ähnlich wie einige der anderen von unserem Research Team entdeckten Schwachstellen, macht auch diese unmissverständlich deutlich, wie hoch das Fehlerpotenzial ist, wenn Unternehmen mit ihren Produkten auf einen jungen oder schnell expandierenden Markt drängen.“

Microsoft hat bestätigt, dass die Schwachstelle seit 31. Juli 2024 behoben ist. Seitens der Kunden sind keine Maßnahmen erforderlich.

Roger Homrich

Recent Posts

Hackerangriffe auf Zero-Day-Lücke in Ivanti Connect Secure VPN

Mindestens ein Bedrohungsakteur hat Verbindungen nach China. Die Zero-Day-Lücke erlaubt die vollständige Kontrolle von Ivanti…

1 Tag ago

Smartphonemarkt wächst 2025 voraussichtlich um 4,6 Prozent

Der Trend hin zu Premium-Smartphones hält an. Dieses Segment verbessert sich wahrscheinlich um mehr als…

2 Tagen ago

Roboter mit LiDAR-Laser erkundet Gefahrenzonen

Bisher wurden nur Kameras eingesetzt, die Bilddaten liefern. Mit dem Laser soll es möglich werden,…

2 Tagen ago

Augmented Reality: private Nutzung holt auf

Anwendung der Technologie im B2C-Umfeld steigt von 19 auf 28 Prozent. Kamerafilter und Spiele sind…

2 Tagen ago

Private/Hybrid-Cloud: Kleinere Anbieter mischen Mittelstandsmarkt auf

ISG-Studie: Globale Systemintegratoren zunehmend unter Wettbewerbsdruck. Zahlreiche Fusionen mit Hilfe von Private-Equity-Kapital.

2 Tagen ago

Sicherheitsupdate für Chrome 131 schließt vier Lücken

Eine Anfälligkeit erlaubt eine Remotecodeausführung innerhalb der Sandbox von Chrome. Betroffen sind Chrome 131 und…

2 Tagen ago