Microsoft Copilot Studio Kena Hack! Data Rahasia Bocor



Microsoft Copilot Studio Kena Hack! Data Rahasia Bocor - image origin: techrepublic - pibitek.biz - Aplikasi

image origin: techrepublic


336-280
TL;DR
  • Microsoft Copilot Studio punya lobang keamanan, bisa bikin data rahasia pengguna bocor.
  • Microsoft udah benerin lobang keamanan di Copilot Studio dan Azure Health Bot Service.
  • Microsoft ngeluarin kebijakan baru buat tingkatkan keamanan, mewajibkan pengguna Azure aktifin "multi-factor authentication".

pibitek.biz -Microsoft Copilot Studio, salah satu layanan yang lagi ngehits banget buat ngebantu coding, ternyata punya celah keamanan yang bikin data sensitif rentan diintip. Sejak awal tahun 2024, para peneliti keamanan udah nge-scan sana sini buat ngecek keamanan si Copilot Studio, dan ternyata mereka nemuin lobang keamanan yang lumayan bahaya. Lobang keamanan ini, yang dijuluki CVE-2024-38206, masuk kategori yang bikin was-was banget, dengan skor CVSS (Common Vulnerability Scoring System) 8.5. Skor ini nunjukin kalau lobang keamanan ini bisa jadi masalah serius.

Kenaikan skor ini nggak main-main lho! Biasanya, skor CVSS di atas 7 udah masuk kategori yang bikin panik. Bayangin, kalau lobang keamanan ini dieksploitasi, data rahasia yang ada di Copilot Studio bisa bocor, dan itu bisa jadi bencana. Nah, lobang keamanan ini disebut sebagai celah "information disclosure" yang muncul dari serangan "server-side request forgery" atau SSRF. SSRF ini semacam tipu daya yang bikin si Copilot Studio percaya kalau permintaan data itu datang dari server yang resmi, padahal aslinya berasal dari pihak yang nggak dikenal.

Para penjahat dunia maya ini, yang biasa disebut sebagai "attacker", bisa memanfaatkan lobang ini buat nge-hack ke dalam Copilot Studio dan ngedapetin akses ke informasi sensitif. Microsoft, yang sadar kalau layanannya terancam, langsung ngebenerin lobang keamanan itu. Mereka ngasih tahu ke pengguna Copilot Studio kalau mereka udah beresin masalahnya, dan mereka nggak butuh bantuan apa pun dari pengguna. Tapi, walau udah diperbaiki, lobang keamanan ini tetep jadi perhatian, terutama buat Evan Grant, seorang peneliti keamanan dari Tenable.

Dia adalah orang yang pertama kali nemuin lobang keamanan ini, dan dia udah ngasih tahu Microsoft tentang masalahnya. Evan Grant bilang, lobang keamanan ini bisa dimanfaatin buat ngambil data yang ada di Copilot Studio, bahkan sampai ke "Instance Metadata Service" dan "Cosmos DB instances". Buat yang belum tahu, "Instance Metadata Service" itu semacam catatan tentang server yang ngelayani aplikasi Copilot Studio. Data ini bisa ngasih informasi penting tentang server, termasuk konfigurasi dan identitasnya.

Sementara "Cosmos DB instances" adalah database yang menyimpan berbagai data tentang Copilot Studio, termasuk data tentang pengguna dan proyek. Dengan kata lain, para attacker bisa ngedapetin data sensitif yang ada di server dan database, termasuk "access tokens" yang bisa dipake buat ngakses berbagai sumber daya internal, termasuk data yang ada di "Cosmos DB instances". Serangan ini bahkan bisa ngasih akses "read/write", yang artinya para attacker bisa ngubah data yang ada di database, bahkan ngehapusnya.

Tenable, perusahaan keamanan yang ngembangin teknologi buat ngecek keamanan sistem, juga nemuin dua lobang keamanan di "Azure Health Bot Service" milik Microsoft. Lobang keamanan ini, yang diberi kode CVE-2024-38109, punya skor CVSS 9.1, yang berarti punya potensi bahaya yang lebih tinggi. Lobang keamanan ini bisa ngasih akses ke lingkungan para pengguna "Azure Health Bot Service", yang memungkinkan para attacker buat ngelacak aktivitas dan ngakses data sensitif, termasuk data pasien. Tenable juga ngasih tahu kalau lobang keamanan ini bisa di-eksploitasi buat nyebarin program jahat dan nyuri data penting.

Microsoft udah ngebenerin lobang keamanan ini, tapi ini jadi bukti kalau keamanan sistem teknologi harus terus ditingkatkan. Microsoft, sebagai perusahaan teknologi raksasa, juga ngeluarin kebijakan baru buat ningkatin keamanan akun Azure. Mereka mewajibkan semua pengguna Azure buat mengaktifkan "multi-factor authentication" (MFA) di akun mereka. MFA ini semacam sistem keamanan tambahan yang nge-verifikasi identitas pengguna dengan ngasih kode keamanan yang dikirim lewat email, SMS, atau aplikasi khusus.

Kebijakan baru ini berlaku mulai bulan Oktober 2024, dan Microsoft ngasih waktu buat para pengguna buat ngaktifin MFA di akun mereka. Setelah bulan Oktober, semua pengguna yang belum ngaktifin MFA nggak bakal bisa masuk ke akun Azure mereka. Microsoft juga ngasih tahu kalau mereka bakal terus meningkatkan sistem keamanan, termasuk ngaktifin MFA buat aplikasi dan sistem lain, seperti "Azure CLI", "Azure PowerShell", "Azure mobile app", dan "Infrastructure as Code" (IaC). Kebijakan ini ngasih pesan yang jelas, yaitu kalau Microsoft udah serius nge-prioritasin keamanan data para penggunanya.