Недавно обнаруженная уязвимость M365 Copilot позволяет пользователям получать доступ к информации о файлах без записи активности в журнал аудита. Эта проблема возникла случайно, а не является результатом сложной атаки.
Зак Корман, технический директор Pistachio, заявил, что баг может быть использован инсайдерами-злоумышленниками для скрытого доступа к конфиденциальным файлам, что создаёт серьёзную проблему для организаций, которые полагаются на точность журналов аудита для обеспечения безопасности, соблюдения нормативных требований и реагирования на инциденты.
Корман сообщил об уязвимости в Microsoft, и компания устранила её несколько дней назад, выпустив патч непосредственно для Copilot. Корман решил сам раскрыть информацию об уязвимости после того, как Microsoft заявила, что не будет сообщать о ней клиентам.
По словам эксперта, MSRC (Центр реагирования на угрозы безопасности Microsoft) не следовал собственной опубликованной политике обработки сообщений об уязвимостях. Статус сообщения был изменён некорректно и без объяснения причин. Изначально в MSRC заявили, что не будут выдавать номер CVE, поскольку клиентам не нужно предпринимать никаких действий. Уязвимость была классифицирована как «важная», а не «критическая».
По мнению Кормана, молчание со стороны Microsoft создаёт проблемы для организаций, таких как подпадающие под действие HIPAA (Закон о переносимости и подотчётности медицинского страхования, Health Insurance Portability and Accountability Act) и полагаются на журналы аудита для соблюдения требований.
Неполный журнал аудита несёт серьёзные последствия для организаций при обнаружении, расследовании и реагировании на инциденты. Поведение Microsoft поднимает вопросы об ответственности компании перед пользователями, особенно учитывая, что уязвимость не так сложно активировать. Теперь организациям может потребоваться проверить последние журналы аудита на предмет пробелов или неточностей.
Между тем исследователи на конференции Black Hat заявили, что искусственный интеллект и его методы защиты откатывают отрасль кибербезопасности в 90-е годы. Они продемонстрировали внедрение вредоносных данных в ИИ-агентов в формате наподобие SQL-инъекций. Это создаёт лазейки, которые позволяют получить важные данные с помощью промптов без взлома кода.
Источник: habr.com