Уязвимость в Microsoft Copilot использует сбои в журналах аудита

Недавно обнаруженная уязвимость M365 Copilot позволяет пользователям получать доступ к информации о файлах без записи активности в журнал аудита. Эта проблема возникла случайно, а не является результатом сложной атаки.

Зак Корман, технический директор Pistachio, заявил, что баг может быть использован инсайдерами-злоумышленниками для скрытого доступа к конфиденциальным файлам, что создаёт серьёзную проблему для организаций, которые полагаются на точность журналов аудита для обеспечения безопасности, соблюдения нормативных требований и реагирования на инциденты.

Корман сообщил об уязвимости в Microsoft, и компания устранила её несколько дней назад, выпустив патч непосредственно для Copilot. Корман решил сам раскрыть информацию об уязвимости после того, как Microsoft заявила, что не будет сообщать о ней клиентам.

По словам эксперта, MSRC (Центр реагирования на угрозы безопасности Microsoft) не следовал собственной опубликованной политике обработки сообщений об уязвимостях. Статус сообщения был изменён некорректно и без объяснения причин. Изначально в MSRC заявили, что не будут выдавать номер CVE, поскольку клиентам не нужно предпринимать никаких действий. Уязвимость была классифицирована как «важная», а не «критическая».

По мнению Кормана, молчание со стороны Microsoft создаёт проблемы для организаций, таких как подпадающие под действие HIPAA (Закон о переносимости и подотчётности медицинского страхования, Health Insurance Portability and Accountability Act) и полагаются на журналы аудита для соблюдения требований.

Неполный журнал аудита несёт серьёзные последствия для организаций при обнаружении, расследовании и реагировании на инциденты. Поведение Microsoft поднимает вопросы об ответственности компании перед пользователями,