Une vulnérabilité critique de type SSRF, mettant potentiellement en péril des informations sensibles, a été découverte par Tenable Research dans Microsoft Copilot Studio. Bien que la faille ait été corrigée depuis, l’entreprise de cybersécurité estime que cet incident souligne les risques liés à la précipitation dans le développement d'outils.
La société de gestion de l’exposition au risque cyber Tenable a mis en évidence une vulnérabilité critique de divulgation d'informations via une falsification de requête côté serveur (SSRF - Server-Side Request Forgery) dans Copilot Studio de Microsoft. Cet outil, présenté en novembre 2023, est dédié à la création de copilotes personnalisés.
Une vulnérabilité SSRF se produit lorsqu'un attaquant manipule un serveur pour qu'il envoie des requêtes à des ressources ou services externes ou internes, à l'insu de l'utilisateur. Le pirate peut alors contourner les restrictions de sécurité en exploitant les privilèges du serveur. Les conséquences peuvent inclure l'exfiltration de données sensibles ou l'accès à des systèmes non autorisés.
Tenable récupère des jetons d’accès
Les chercheurs de Tenable ont exploité cette vulnérabilité et sont parvenus à accéder à des informations potentiellement sensibles, pouvant impacter les clients de la firme de Redmond.
« Dans le contexte des applications cloud, une cible commune est le service de métadonnées d'instance (IMDS) qui, en fonction de la plateforme cloud, peut fournir des informations utiles et potentiellement sensibles à un attaquant. Dans ce cas, nous avons pu récupérer des jetons d'accès à l'identité gérée à partir de l'IMDS. Aucune information autre que l'utilisation de Copilot Studio n'a été nécessaire pour exploiter cette faille », explique Jimi Sebree, ingénieur de recherche senior, dans un communiqué.
Les failles sont inévitables, mais Tenable Research en profite pour mettre en garde les entreprises qui, face à la concurrence, s’empressent de mettre sur le marché des outils comportant des vulnérabilités. Les utilisateurs de Copilot Studio peuvent néanmoins être rassurés, car Microsoft a appliqué des correctifs dès le 31 juillet dernier.