A Tenable Research descobriu uma vulnerabilidade crítica de divulgação de informações no Copilot Studio da Microsoft por meio de uma falsificação de solicitação do lado do servidor (SSRF), que permitiu que os pesquisadores acessassem informações potencialmente confidenciais sobre componentes internos do serviço com poder de impacto entre usuários.
Após analisar algumas vulnerabilidades SSRF nas APIs do Azure AI Studio e do Azure ML Studio, que já haviam sido corrigidas, a equipe de especialistas em segurança da Tenable analisou outra área e detectou que havia um bypass para proteções SSRF em uma API separada, mas semelhante, que foi relatada ao Security Response Center (MSRC) da Microsoft.
Uma vulnerabilidade SSRF ocorre quando um invasor consegue influenciar uma aplicação a fazer solicitações HTTP do lado do servidor para alvos inesperados ou de maneira inesperada.
Por exemplo, um recurso comum em muitas aplicações modernas que lidam com análise de dados ou aprendizado de máquina é integrar dados de serviços externos. Para fazer isso, a aplicação precisa fazer solicitações HTTP para se conectar a essas APIs de serviços externos. Se um invasor for capaz de controlar o alvo dessas solicitações, ele poderá apontar a solicitação para um recurso interno sensível ao qual a aplicação do lado do servidor tem acesso, mesmo que o invasor não tenha, revelando informações potencialmente sensíveis.
No contexto de aplicações de nuvem, um alvo comum é o IMDS, que, dependendo da plataforma, pode gerar informações úteis e potencialmente sensíveis para um invasor ( Azure , AWS e Google têm suas próprias versões disso), localhost ou outra infraestrutura interna. Por esse motivo, muitos recursos que podem levar a vulnerabilidades SSRF bloquearão o recurso de direcionar IMDS e IPs não roteáveis, mas onde há restrições, há by-passes.
No caso do Azure AI Studio e do Azure ML Studio, enquanto o recurso analisado bloquearia solicitações direcionadas a localhost/127.0.0.1, seria possível apontar a solicitação para um servidor controlado pelo invasor, que usaria um redirecionamento HTTP 301 (ou 302) para redirecionar a solicitação do servidor de volta para localhost/127.0.0.1. Dessa forma, seria possível ignorar a restrição e obter informações confidenciais, como outros hosts e endpoints na rede, de 127.0.0.1:4191 (um endpoint de métricas relacionado ao Linkerd).
Conclusão
Foram testados vários hosts e a equipe da Tenable confirmou que, embora nenhuma informação entre hosts parecesse imediatamente acessível, a infraestrutura usada para este serviço do Copilot Studio era compartilhada. Qualquer impacto nessa infraestrutura poderia afetar vários clientes. Embora não seja conhecida a extensão do impacto que o acesso de leitura/gravação a essa infraestrutura poderia ter, está claro que, como ela é compartilhada o risco é ampliado.
Também foi determinado que é possível acessar outros hosts internos, sem restrições, na sub-rede local à qual nossa instância pertencia (10.0.x.0/24).
Uma vez relatado, a Microsoft respondeu rapidamente e começou a abordar o problema. A Microsoft atribuiu esse problema CVE-2024-38206 e comunicou sua avaliação à Tenable como um problema de Divulgação de Informações Críticas.
