- Celah keamanan di Microsoft Copilot Studio membuat penyerang bisa mencuri informasi sensitif pengguna.
- Microsoft memperbaiki celah ini dan akan mewajibkan autentikasi dua faktor untuk meningkatkan keamanan akun pengguna.
pibitek.biz -Sebuah celah keamanan yang lumayan parah di aplikasi Microsoft Copilot Studio berhasil diungkap oleh para ahli keamanan siber. Celah ini bisa dimanfaatkan untuk mencuri informasi sensitif milik pengguna. Celah keamanan ini, yang diberi kode CVE-2024-38206, dikategorikan sebagai "information disclosure bug" yang disebabkan oleh serangan "server-side request forgery" atau SSRF. Sederhananya, celah ini membuat penyerang yang sudah punya akses ke Copilot Studio bisa masuk ke bagian dalam server dan mengambil data yang dijaga ketat.
2 – Kebocoran Data Asuransi Globe Life dan Upaya Pemerasan 2 – Kebocoran Data Asuransi Globe Life dan Upaya Pemerasan
3 – SimpliSafe Rilis Layanan Pemantauan Aktif Waktu Nyata 3 – SimpliSafe Rilis Layanan Pemantauan Aktif Waktu Nyata
Microsoft, yang terkenal dengan kehebatannya di dunia teknologi, langsung bergerak cepat. Mereka langsung memperbaiki celah ini dan meyakinkan pengguna bahwa tidak perlu melakukan langkah tambahan. Namun, kabar buruknya, ternyata celah ini bisa dipakai untuk mengakses data dari banyak pengguna Copilot Studio secara bersamaan. Evan Grant, seorang peneliti keamanan dari Tenable, adalah orang yang pertama kali menemukan celah ini dan melaporkan ke Microsoft. Grant menuturkan bahwa serangan ini memanfaatkan kemampuan Copilot Studio yang bisa mengirimkan permintaan ke situs web di luar aplikasi.
Dengan memanfaatkan celah keamanan ini, Grant berhasil masuk ke infrastruktur internal Microsoft yang mengelola Copilot Studio, termasuk server internal yang bernama "Instance Metadata Service" atau IMDS dan juga server "Cosmos DB". Dengan kata lain, penyerang bisa mencuri data penting dari akun Copilot Studio dan mengakses server internal milik Microsoft. Data-data yang bisa diambil termasuk token akses yang dipakai untuk masuk ke berbagai layanan internal Microsoft, yang kemudian bisa disalahgunakan untuk mengakses sumber daya lain, seperti database Cosmos DB.
Meskipun serangan ini tidak bisa untuk mengakses data pengguna dari tenant lain, infrastruktur yang dipakai oleh Copilot Studio digunakan secara bersama oleh banyak pengguna. Artinya, jika penyerang berhasil mengakses infrastruktur internal Microsoft, bisa jadi mereka bisa mendapatkan data yang tersimpan di server-server milik banyak pengguna. Selain celah keamanan di Copilot Studio, Tenable juga menemukan dua celah keamanan di layanan "Azure Health Bot Service" milik Microsoft. Celah keamanan ini diberi kode CVE-2024-38109 dan memiliki skor 9.1.
Celah ini bisa dimanfaatkan untuk mengakses data pasien yang bersifat rahasia. Di sisi lain, Microsoft sedang bersiap untuk mewajibkan semua pengguna Microsoft Azure untuk mengaktifkan autentikasi dua faktor atau multi-factor authentication (MFA) mulai Oktober 2024. Kebijakan ini merupakan bagian dari program "Secure Future Initiative" atau SFI yang bertujuan untuk meningkatkan keamanan akun pengguna. MFA akan diwajibkan untuk masuk ke berbagai layanan Microsoft seperti portal Azure, Microsoft Entra admin center, dan Intune admin center.
Kebijakan ini akan diterapkan bertahap di seluruh dunia. Di awal tahun 2025, kebijakan ini akan mulai diterapkan secara bertahap untuk berbagai layanan lain, seperti Azure CLI, Azure PowerShell, Azure mobile app, dan berbagai alat "Infrastructure as Code" atau IaC.
