Un error de falsificación de solicitud del lado del servidor (SSRF) en la herramienta de Microsoft para crear chatbots de IA personalizados expuso potencialmente información a través de múltiples inquilinos dentro de entornos en la nube.
Investigadores han explotado una vulnerabilidad en la herramienta Copilot Studio de Microsoft, lo que les permitió realizar solicitudes HTTP externas que pueden acceder a información sensible sobre servicios internos dentro de un entorno en la nube, con un impacto potencial en múltiples inquilinos.
Investigadores de Tenable descubrieron el defecto SSRF en la herramienta de creación de chatbots, que explotaron para acceder a la infraestructura interna de Microsoft, incluyendo el Servicio de Metadatos de Instancia (IMDS) y las instancias internas de Cosmos DB, como revelaron en una publicación de su blog esta semana.
Rastreada por Microsoft como CVE-2024-38206, la vulnerabilidad permite a un atacante autenticado eludir la protección SSRF en Microsoft Copilot Studio para filtrar información sensible basada en la nube a través de una red, según un aviso de seguridad asociado con la vulnerabilidad. La falla existe al combinar una solicitud HTTP que se puede crear utilizando la herramienta con un bypass de protección SSRF, según Tenable.
"Una vulnerabilidad SSRF ocurre cuando un atacante puede influir en la aplicación para que realice solicitudes HTTP del lado del servidor a objetivos inesperados o de una manera inesperada", explicó el investigador de seguridad de Tenable, Evan Grant, en la publicación.
Los investigadores probaron su exploit para crear solicitudes HTTP para acceder a datos y servicios en la nube de múltiples inquilinos. Descubrieron que "aunque no había información entre inquilinos que apareciera inmediatamente accesible, la infraestructura utilizada para este servicio de Copilot Studio era compartida entre inquilinos", escribió Grant.
Cualquier impacto en esa infraestructura podría afectar a múltiples clientes, explicó. "Si bien no sabemos la magnitud del impacto que tener acceso de lectura/escritura a esta infraestructura podría tener, está claro que, debido a que se comparte entre inquilinos, el riesgo se magnifica", escribió Grant. Los investigadores también encontraron que podían usar su exploit para acceder a otros hosts internos sin restricciones en la subred local a la que pertenecía su instancia.
Microsoft respondió rápidamente a la notificación de Tenable sobre la vulnerabilidad, y desde entonces se ha mitigado completamente, sin que se requiera ninguna acción por parte de los usuarios de Copilot Studio, dijo la compañía en su aviso de seguridad.
Cómo Funciona la Vulnerabilidad CVE-2024-38206
Microsoft lanzó Copilot Studio a finales del año pasado como una herramienta fácil de usar de arrastrar y soltar para crear asistentes de inteligencia artificial (IA) personalizados, también conocidos como chatbots. Estas aplicaciones conversacionales permiten a las personas realizar una variedad de tareas de modelos de lenguaje grande (LLM) e IA generativa aprovechando datos ingeridos del entorno de Microsoft 365, o cualquier otro dato de la Plataforma Power, sobre la cual se basa la herramienta.
El lanzamiento inicial de Copilot Studio fue señalado recientemente como "excesivamente permisivo" por el investigador de seguridad Michael Bargury en la conferencia Black Hat de este año en Las Vegas; encontró 15 problemas de seguridad con la herramienta que permitirían la creación de chatbots defectuosos.
Los investigadores de Tenable descubrieron el defecto SSRF de la herramienta cuando estaban investigando vulnerabilidades SSRF en las API de Microsoft Azure AI Studio y Azure ML Studio, que la propia compañía había señalado y parcheado antes de que los investigadores pudieran informarlas. Luego, los investigadores dirigieron su atención investigativa a Copilot Studio para ver si también podría ser explotado de manera similar.
Explotando Solicitudes HTTP para Obtener Acceso a la Nube
Al crear un nuevo Copilot, las personas pueden definir Temas, que les permiten especificar frases clave que un usuario puede decir al Copilot para obtener una respuesta o acción específica por parte de la IA; una de las acciones que se pueden realizar a través de los Temas es una solicitud HTTP. De hecho, la mayoría de las aplicaciones modernas que manejan análisis de datos o aprendizaje automático tienen la capacidad de realizar estas solicitudes, debido a su necesidad de integrar datos de servicios externos; la desventaja es que puede crear una vulnerabilidad potencial, señaló Grant.
Los investigadores intentaron solicitar acceso a varios recursos en la nube, así como aprovechar técnicas comunes de elusión de protección SSRF utilizando solicitudes HTTP. Aunque muchas solicitudes generaron respuestas de Error del Sistema, eventualmente los investigadores dirigieron su solicitud a un servidor que controlaban y enviaron una respuesta de redirección 301 que apuntaba a los hosts restringidos que habían intentado solicitar anteriormente. Y eventualmente, a través de prueba y error, y combinando redirecciones y elusiones de SSRF, los investigadores lograron recuperar tokens de acceso de identidad administrada del IMDS para usarlos para acceder a recursos internos en la nube, como servicios de Azure y una instancia de Cosmos DB. También explotaron la falla para obtener acceso de lectura/escritura a la base de datos.
Aunque la investigación resultó inconclusa sobre la magnitud en que la falla podría ser explotada para obtener acceso a datos sensibles en la nube, fue lo suficientemente grave como para provocar una mitigación inmediata. De hecho, la existencia de la falla SSRF debería ser una historia de advertencia para los usuarios de Copilot Studio sobre el potencial de que los atacantes abusen de su función de solicitud HTTP para elevar su acceso a datos y recursos en la nube.
"Si un atacante puede controlar el objetivo de esas solicitudes, podría dirigir la solicitud a un recurso interno sensible al que la aplicación del lado del servidor tiene acceso, incluso si el atacante no lo tiene", advirtió Grant, "revelando potencialmente información sensible".
Fuente: Dark Reading