Безопасный VPN через Телеграмм – обойди все блокировки:
|
Утечка данных клиентов Microsoft – сценарий, ставший реальностью.
Исследователи из Tenable обнаружили критическую уязвимость в платформе Microsoft Copilot Studio, которая позволяет злоумышленнику получать доступ к конфиденциальной информации через SSRF-атаку. Ошибка может затронуть внутреннюю инфраструктуру Microsoft и потенциально повлиять на нескольких клиентов одновременно.
Недостаток позволяет провести SSRF-атаку и направить серверные HTTP-запросы на неожиданные или нежелательные цели. В случае с Copilot Studio это дало исследователям возможность получить доступ к таким внутренним ресурсам Microsoft, как Instance Metadata Service (IMDS) и внутренние экземпляры базы данных Cosmos DB. Такие данные могут использоваться для дальнейших атак и раскрытия дополнительной конфиденциальной информации.
Купи VPN в России за минуту через наш Телеграмм-бот:
|
Во время исследования специалисты Tenable обратили внимание на способность Copilot Studio выполнять HTTP-запросы, что само по себе представляет потенциальный риск. При более детальном изучении функции оказалось, что существует возможность управления HTTP-заголовками, что позволяет обходить защитные механизмы и направлять запросы к защищённым ресурсам, таким как IMDS.
Используя определённые техники обхода, исследователи смогли получить метаданные экземпляров и токены доступа, которые можно использовать для получения доступа к другим внутренним ресурсам. В частности, специалистам удалось выявить и получить доступ к внутреннему экземпляру Cosmos DB, который в обычных условиях доступен только из внутренней инфраструктуры Microsoft.
Хотя полученная информация может не быть чувствительной сама по себе, доступ к управляемым токенам идентификации открывает возможность взаимодействия с другими внутренними ресурсами, что значительно увеличивает риск. Например, получив токен доступа, исследователи смогли проверить доступность других ресурсов Azure, ассоциированных с идентификацией, что позволило им получить мастер-ключи к Cosmos DB, предоставляющие права на чтение и запись.
Наиболее тревожным выводом стало то, что инфраструктура, использованная в Copilot Studio, является общей для нескольких клиентов, что увеличивает потенциальный риск для всех пользователей платформы. Это означает, что атака на одного клиента может повлиять на безопасность всей инфраструктуры и других пользователей.
Microsoft оперативно отреагировала на сообщение об уязвимости, присвоив ей идентификатор CVE-2024-38206 (оценка CVSS: 8.5) и классифицировав её как критическую проблему, связанную с раскрытием информации. Компания начала работу над устранением проблемы, чтобы минимизировать риски для своих клиентов.
Ваши гаджеты следят за вами. Мы знаем, как это остановить!
Присоединяйтесь
Платный VPN сервис — это инвестиция в вашу безопасность и конфиденциальность в интернете. Он предлагает множество преимуществ, включая защиту данных, отсутствие ограничений и доступ к обширной сети серверов. Если вы активно пользуетесь интернетом и хотите обезопасить свои данные, платный VPN будет лучшим выбором для вас.
Почему стоит использовать платный VPN сервис?
- Безопасность: Если вы цените свою конфиденциальность и безопасность в интернете, платный VPN предоставляет более высокий уровень защиты по сравнению с бесплатными альтернативами.
- Надёжность: Платные VPN-сервисы обычно имеют лучшие показатели надёжности и скорости, что делает их более подходящими для стриминга видео, скачивания и онлайн-игр.
- Без рекламы: Большинство платных сервисов не показывают рекламу, в отличие от бесплатных, которые могут зарабатывать на размещении рекламы.
