Уязвимость в M365 Copilot: как ошибки в аудите ставят под угрозу безопасность данных

Недавно была выявлена уязвимость в M365 Copilot, которая дает пользователям возможность достать информацию о файлах, не оставляя следов в журнале аудита. Проблема возникла случайно, а не в результате продуманной атаки.

Зак Корман, технический директор компании Pistachio, отметил, что этот недостаток может быть использован злонамеренными инсайдерами для тайного доступа к конфиденциальной информации, что представляет собой серьезную угрозу для организаций, полагающихся на точность журналов аудита для обеспечения безопасности, соблюдения норм и реагирования на инциденты.

Корман сообщил о данной уязвимости в Microsoft, и компания устранила ее всего несколько дней назад, выпустив специальный патч для Copilot. Он решил самостоятельно сообщить о проблеме после того, как Microsoft заявила о нежелании уведомлять клиентов.

Эксперт указал, что MSRC (Центр реагирования на угрозы безопасности Microsoft) не следовал своей опубликованной политике по обработке сообщений о уязвимостях. Статус отчета был изменен неправильно и без объяснения причин. Вначале в MSRC сообщили, что не будет присвоен номер CVE, так как пользователям нет необходимости предпринимать какие-либо действия. Уязвимость была оценена как «важная», а не «критическая».

Корман считает, что молчание Microsoft усугубляет проблемы для организаций, подчиняющихся требованиям HIPAA (Закон о переносимости и подотчетности медицинского страхования), которые полагаются на журналы аудита для соблюдения норм.

Неполнота журнала аудита может иметь серьезные последствия для организаций при выявлении, расследовании и реагировании на инциденты. Поведение Microsoft вызывает вопросы о ее ответственности перед пользователями, особенно учитывая, что уязвимость относительно легко активировать. Теперь организациям, возможно, придется проверить журналы аудита на наличие пробелов или ошибок.

Между тем на конференции Black Hat исследователи заявили, что использование искусственного интеллекта и методы его защиты возвращают индустрию кибербезопасности в 90-е годы. Они продемонстрировали, как вредоносные данные могут быть внедрены в ИИ-агенты с помощью аналогов SQL-инъекций. Это создает уязвимости, позволяющие получать важную информацию с помощью специальных запросов без необходимости взлома кода.