Microsoft’un yeni nesil yapay zeka platformu olan Copilot Studio, büyük bir güvenlik açığı ile gündeme geldi. Copilot Studio’nun sunucu tarafı istek sahteciliği (SSRF) olarak bilinen bu açık, platformun bulut altyapısındaki hassas verilere yetkisiz erişim sağlayabiliyor. Peki, bu açık ne anlama geliyor ve kullanıcıları nasıl etkiliyor? Detaylar haberimizde.
Copilot Studio, Microsoft tarafından geliştirilmiş uçtan uca konuşma tabanlı bir yapay zeka platformu olarak tanıtılıyor. Kullanıcılar, bu platformu kullanarak doğal dil işleme veya grafiksel arayüzler aracılığıyla özelleştirilmiş asistanlar oluşturabiliyor. Bu özellik, hem kurumsal hem de bireysel kullanıcılar için geniş bir yelpazede uygulama imkanı sunuyor.
Ancak, siber güvenlik araştırma firması Tenable tarafından yapılan detaylı analizler, platformda büyük bir güvenlik açığı olduğunu ortaya koydu. Bu güvenlik açığı sayesinde saldırganlar, dış HTTP istekleri göndererek Microsoft’un bulut altyapısındaki hassas verilere erişim sağlayabiliyor. Erişilebilen veriler arasında, Microsoft’un Cosmos DB veritabanı örnekleri ve IMDS gibi kritik hizmetler yer alıyor.
Bu güvenlik açığı, Microsoft tarafından CVE-2024-38206 olarak kodlanmış durumda. İlgili güvenlik bülteninde belirtildiği üzere, doğrulanmış saldırganlar bu açığı kullanarak Copilot Studio’nun SSRF korumalarını aşabilir ve bulut tabanlı hassas bilgileri ağ üzerinden sızdırabilirler.
Microsoft, güvenlik açıklarına karşı hızlı müdahale yeteneği ile tanınsa da, bu olay, bulut tabanlı hizmetlerin güvenliği konusunda ne kadar dikkatli olunması gerektiğini bir kez daha gösterdi. Kullanıcıların ve kurumların bu tür güvenlik açıklarına karşı tetikte olmaları büyük önem taşıyor.