Uma vulnerabilidade crítica no copiloto M365 da Microsoft permitiu que os usuários acessem arquivos sensíveis sem deixar nenhum rastro nos registros de auditoria, criando riscos significativos de segurança e conformidade para organizações em todo o mundo.
A falha, descoberto Em julho de 2024, permaneceu em grande parte escondido dos clientes, apesar de ter sido classificado como uma vulnerabilidade “importante” da Microsoft.
Exploração simples com sérias conseqüências
A vulnerabilidade explorou uma falha fundamental na forma como o Copilot lida com o registro de auditoria. Em circunstâncias normais, quando os usuários solicitam ao M365 copilot para resumir os documentos, o sistema registra esses eventos de acesso nos logs de auditoria – um recurso de segurança crítico para rastrear o acesso ao arquivo.
No entanto, os pesquisadores descobriram que simplesmente solicitar a Copilot para evitar o fornecimento de links de arquivos faria com que essas entradas de auditoria desaparecessem completamente.
“Assim, seu registro de auditoria está errado. Para um insider malicioso, evitar a detecção é tão simples quanto pedir ao copiloto”, explicou o pesquisador que descobriu a falha.
A vulnerabilidade era tão direta que poderia ocorrer acidentalmente durante as interações de rotina, o que significa que muitas organizações provavelmente têm logs de auditoria incompletos sem perceber.
As implicações se estendem muito além das simples preocupações de segurança. As organizações sujeitas a requisitos regulamentares como a HIPAA dependem de registros de auditoria abrangentes para demonstrar conformidade com os requisitos técnicos de salvaguarda.
Os procedimentos legais geralmente dependem de trilhas de auditoria como evidência crucial, e o governo dos EUA enfatizou anteriormente o registro de auditoria como um recurso de segurança essencial.
O vulnerabilidade foi relatado à Microsoft através do portal do Microsoft Security Response Center (MSRC) em 4 de julho, mas o processo de manuseio se desviou significativamente das diretrizes publicadas da empresa.
Em vez de seguir suas fases estabelecidas de reprodução e desenvolvimento, a Microsoft parecia corrigir silenciosamente o problema enquanto o relatório permaneceu no status de “reprodução”.
O mais preocupante foi a decisão da Microsoft de não emitir um número de CVE (vulnerabilidades e exposições comuns) ou notificar os clientes sobre a falha.
Quando questionado sobre essa abordagem, Microsoft citou sua política de emitir apenas CVEs para vulnerabilidades “críticas”, apesar de classificar esse problema como “importante”. A empresa supostamente não tinha planos de divulgar a existência da vulnerabilidade aos clientes afetados.
A Microsoft implantou a correção em 17 de agosto de 2024, pressionando automaticamente a mitigação para copiar os sistemas sem exigir intervenção do usuário.
No entanto, as organizações que usaram o copiloto antes dessa data podem ter comprometido os logs de auditoria sem como saber quais acessos não foram registrados.
A decisão do pesquisador de divulgar publicamente a vulnerabilidade decorre da recusa da Microsoft em informar os clientes sobre as lacunas de log de auditoria.
Essa situação levanta questões mais amplas sobre as práticas de transparência da Microsoft e quantos outros problemas de segurança podem ser abordados silenciosamente sem a notificação do cliente.
Para as organizações fortemente dependentes de trilhas de auditoria para monitoramento de segurança e conformidade regulatória, este incidente destaca os riscos de confiar em sistemas automatizados de IA com funções críticas de segurança e destacar a necessidade de práticas abrangentes de auditoria de segurança que estendam além dos mecanismos de registro fornecidos por fornecedores.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!