Microsoft’un özel AI chatbot’ları oluşturma aracı olan Copilot Studio’daki bir sunucu tarafı istek sahteciliği (SSRF) hatası, bulut ortamlarında birden fazla kiracıyı etkileyebilecek bilgiler sızdırılmasına yol açtı.
Araştırmacılar, Microsoft’un Copilot Studio aracındaki bir güvenlik açığını kullanarak, bulut ortamındaki dahili hizmetler hakkında hassas bilgilere erişebilen dış HTTP istekleri yapabildiklerini ortaya çıkardı. Bu durum, birden fazla kiracıyı etkileyebilecek potansiyel bir risk oluşturuyor.
Tenable araştırmacıları, bu hafta bir blog yazısında Microsoft’un dahili altyapısına erişmek için kullanılan chatbot oluşturma aracındaki sunucu tarafı istek sahteciliği (SSRF) hatasını keşfettiklerini duyurdu. Bu güvenlik açığı, Microsoft’un Instance Metadata Service (IMDS) ve dahili Cosmos DB örnekleri gibi dahili hizmetlerine erişim sağlamak için kullanıldı.
Microsoft tarafından CVE-2024-38206 olarak takip edilen bu güvenlik açığı, doğrulanmış bir saldırganın Microsoft Copilot Studio’daki SSRF korumasını aşarak ağ üzerinden bulut tabanlı hassas bilgileri sızdırmasına olanak tanıyor. Tenable’a göre bu açık, HTTP isteklerini araçla oluşturulabilen bir SSRF koruması atlatması ile birleştirildiğinde ortaya çıkıyor.
Tenable güvenlik araştırmacısı Evan Grant, bir saldırganın uygulamayı, sunucu tarafında beklenmedik hedeflere HTTP istekleri yapacak şekilde yönlendirebildiğinde bir SSRF güvenlik açığının ortaya çıktığını açıkladı.
Araştırmacılar, bulut verilerine ve hizmetlerine erişim sağlamak için HTTP istekleri oluşturarak exploitlerini test ettiler. “Çapraz kiracı bilgisi hemen erişilebilir olmasa da, bu Copilot Studio hizmeti için kullanılan altyapının kiracılar arasında paylaşıldığını” keşfettiler, diye yazdı Grant.
Bu altyapının etkilenmesi, birden fazla müşteriyi etkileyebilir, diye açıkladı. “Bu altyapıya okuma/yazma erişiminin ne kadar etkili olabileceği bilinmemekle birlikte, kiracılar arasında paylaşıldığı için riskin büyüdüğü açıktır,” diye ekledi Grant. Araştırmacılar ayrıca, exploitlerini kullanarak kendi örneklerine ait yerel alt ağda kısıtlanmamış diğer dahili ana bilgisayarlara erişim sağlayabildiklerini buldular.
Microsoft, Tenable’ın güvenlik açığı bildirimi üzerine hızla harekete geçti ve bu sorunu tamamen giderdi, Copilot Studio kullanıcılarının herhangi bir işlem yapması gerekmiyor.
CVE-2024-38206 Güvenlik Açığı Nasıl Çalışır? Microsoft, geçen yılın sonlarında özel yapay zeka asistanları, diğer adıyla chatbot’lar oluşturmak için kolayca kullanılabilen bir sürükle-bırak aracı olarak Copilot Studio’yu piyasaya sürdü. Bu konuşma uygulamaları, Microsoft 365 ortamından veya aracın üzerine inşa edildiği Power Platform’dan alınan verileri kullanarak çeşitli büyük dil modelleri (LLM) ve üretken yapay zeka görevlerini yerine getirmeye olanak tanır.
Copilot Studio’nun ilk sürümü, bu yılın Black Hat konferansında güvenlik araştırmacısı Michael Bargury tarafından “aşırı yetkilendirilmiş” olarak nitelendirildi; Bargury, araçta hatalı chatbot’lar oluşturulmasına izin veren 15 güvenlik sorunu buldu.
Tenable araştırmacıları, Microsoft’un kendilerinden önce tespit edip düzelttiği Azure AI Studio ve Azure ML Studio’nun API’lerindeki SSRF güvenlik açıklarını araştırırken bu aracın SSRF hatasını keşfettiler. Daha sonra, Copilot Studio’nun da benzer şekilde istismar edilip edilemeyeceğini görmek için bu aracı incelemeye karar verdiler.
Bulut Erişimi İçin HTTP İsteklerini Kötüye Kullanmak Yeni bir Copilot oluştururken, kullanıcılar AI’dan belirli bir yanıt veya eylem almak için kullanıcının Copilot’a söyleyebileceği anahtar ifadeleri belirleyen Konular tanımlayabilir; Konular aracılığıyla gerçekleştirilebilecek eylemlerden biri de bir HTTP isteğidir. Grant, veri analizi veya makine öğrenimi ile ilgilenen modern uygulamaların çoğunun bu istekleri yapabilme yeteneğine sahip olduğunu, çünkü harici hizmetlerden veri entegre etme ihtiyacı duyduklarını belirtti; ancak bu durumun bir güvenlik açığı oluşturabileceğini de vurguladı.
Araştırmacılar, çeşitli bulut kaynaklarına erişim sağlamak ve HTTP isteklerini kullanarak yaygın SSRF koruması atlatma tekniklerinden yararlanmak için denemeler yaptılar. Birçok istek Sistem Hatası yanıtları verirken, sonunda araştırmacılar, kontrol ettikleri bir sunucuya yönlendirdikleri istekleri 301 yönlendirme yanıtı ile kısıtlı ana bilgisayarlara yönlendirdiler. Yönlendirmeleri ve SSRF atlatmalarını birleştirerek, IMDS’den yönetilen kimlik erişim belirteçlerini almayı ve bu belirteçleri Azure hizmetleri ve Cosmos DB örneği gibi dahili bulut kaynaklarına erişmek için kullanmayı başardılar. Ayrıca, bu güvenlik açığını kullanarak veritabanına okuma/yazma erişimi sağladılar.
Araştırma, bu açığın hassas bulut verilerine erişim sağlamak için ne ölçüde istismar edilebileceği konusunda kesin sonuçlar vermemiş olsa da, bu güvenlik açığı yeterince ciddi bulundu ve derhal müdahale edildi. Aslında, SSRF güvenlik açığının varlığı, Copilot Studio kullanıcıları için, saldırganların HTTP isteği özelliğini kötüye kullanarak bulut verilerine ve kaynaklarına erişimlerini artırma potansiyeli konusunda bir uyarı niteliğinde olmalıdır.
Grant, “Bir saldırgan, bu isteklerin hedefini kontrol edebiliyorsa, isteği sunucu tarafı uygulamasının erişim yetkisine sahip olduğu ancak saldırganın erişim yetkisi olmadığı hassas bir iç kaynağa yönlendirebilir,” diye uyardı, “bu da potansiyel olarak hassas bilgilerin ortaya çıkmasına neden olabilir.”