Das
Tenable Research Team hat in Microsoft Copilot Studio eine kritische Information-Disclosure-Schwachstelle mittels Server-Side Request Forgery (SSRF) entdeckt, wie das Unternehmen mitteilt. Eine SSRF-Schwachstelle ermöglicht es einem Angreifer, eine Anwendung so zu manipulieren, dass sie serverseitige HTTP-Requests an vom User nicht vorgesehene Ziele sendet. Die Schwachstelle ist gemäss Tenable auf unsachgemässes Handling von Redirect-Status-Codes für benutzerkonfigurierbare Aktionen innerhalb von Copilot Studio zurückzuführen.
Das Unternehmen meldete die Sicherheitslücke an
Microsoft, wo das Problem
hier gelistet wird. Die Sicherheitslücke wurde bereits mit Wirkung zum 31. Juli behoben und erfordert seitens der Anwender keine Massnahmen. Tenable schreibt dennoch, dass solche Szenarien verdeutlichen, dass das Fehlerpotenzial hoch ist, wenn Unternehmen mit ihren Produkten auf einen jungen oder schnell expandierenden Markt drängen. Ob die besagte Schwachstelle von Kriminellen für einen Angriff genutzt wurde, ist nicht überliefert.
(dok)
