Copilot lot Zack lese hemmelige filer uten spor: «Skremmende!»
Zack Korman fant ut at man kan be Microsoft 365 Copilot omgå revisjonsloggen, men Microsoft vil hverken betale dusør eller offentliggjøre svakheten. – Det er ganske skremmende, mener CTO-en.
– Revisjonslogger er viktige. Tenk deg at noen lastet ned en mengde filer før de sluttet i selskapet ditt for å starte en konkurrent; da ville du ha behov for en logg over det. Det ville være uheldig dersom personen kunne bruke Copilot til å gjøre dette uten å bli oppdaget, skriver Zack Korman i et blogginnlegg, som har fått mye oppmerksomhet på blant Hacker News.
Kormann er CTO (Chief Technology Officer) i det norske selskapet Pistachio, som jobber med digital sikkerhet.
Han forteller til kode24 at han nylig kom over det han mener var et alvorlig problem med AI-assistenten Microsoft 365 Copilot:
Ved å gi spesielle instruksjoner til Microsoft 365 Copilot kunne nemlig Zack få Copilot til å oppsummere innholdet i filer – uten at det ville være mulig for noen å se hvem som har aksessert filen.
Kunne lure Copilot
Revisjonslogger (audit logs) er i denne sammenhengen kort fortalt en logg over alle som har aksessert filer på serveren, for eksempel åpnet, endret, kopiert eller lastet ned filen.
Når du spør Microsoft 365 Copilot om å oppsummere innholdet i en fil for deg, vil den gi deg oppsummeringen – og så vil revisjonsloggen vise at Copilot har aksessert filen på vegne av deg:
Korman fant imidlertid ut at hvis han ba Copilot om å ikke lenke til filen eller inkludere filen som referanse, så ville Copilot ikke oppdatere revisjonsloggen:
– Så enkelt, og revisjonsloggen er feil. For en ondsinnet aktør er det å unngå oppdagelse så enkelt som å spørre Copilot, sier Korman.
Dårlig håndtert av Microsoft
– Hva var din første tanke da du oppdaget dette?
– Jeg var mest bare irritert, fordi vi jobber med funksjonalitet som er avhengig av den revisjonsloggen. Da jeg så hvor lett det var å omgå den, tenkte jeg: "Flott, nå må jeg finne en måte å få Microsoft til å fikse dette på", sier Korman.
Han meldte derfor inn svakheten til Microsoft Security Response Center (MSRC). Det skulle senere vise seg at problemet hadde blitt oppdaget allerede ett år tidligere av Michael Bargury, CTO i Zenity – uten at Microsoft hadde fikset problemet i mellomtiden.
Korman sier at han først opplevde prosessen med å kunne melde inn sårbarheter til MSRC som ganske positiv. Men når han sjekket status for rapporten så viste det seg at statusendringene ikke fulgte den vanlige prosessen Microsoft selv beskriver her.
Den 2. august fikk imidlertid Korman beskjed om at Microsoft ville gi ut en fiks den 17. august, og at han kunne gå ut med funnet den 18. august.
Men da han spurte om et CVE-nummer fikk han til svar at saken ikke ville få et CVE-nummer, da de bare ville endre dette direkte i Copilot, så brukerne automatisk ville få tilgang til en oppdatert versjon.
Hvis Microsoft ikke gir ut en CVE for denne sårbarheten, hvordan skal de da informere kundene om det? Svaret er at de ikke kommer til å gjøre det.
Microsoft vil ikke informere
Årsaken til at Microsoft ikke ville gi ut en CVE var ifølge Microsoft at sårbarheten var klassifisert som "viktig" og ikke "kritisk".
– Hvis Microsoft ikke gir ut en CVE for denne sårbarheten, hvordan skal de da informere kundene om det? Svaret er at de ikke kommer til å gjøre det, sier Korman, og viser til en telefonsamtale med Microsoft der de skal ha sagt til han at de ikke kommer til å gå ut med informasjon om sårbarheten.
Korman mener avgjørelsen er feil, siden dette ikke er en sær feil – men noe som er så enkelt å utføre at det nærmest kan skje ved et uhell.
– Hvis du jobber i en virksomhet som brukte Copilot før 18. august, er det en veldig stor mulighet for at revisjonsloggen din er ufullstendig.
kode24 har bedt Microsoft om en kommentar til denne artikkelen, foreløpig uten hell.
Betaler ikke dusør
Korman sier han ikke har noe problem med at selve feilen skjedde.
– Sannheten er at feil skjer. AI er nytt, så dumme ting kommer til å dukke opp.
Han er imidlertid sterkt kritisk til Microsofts håndtering.
– Hvis dette er et tegn på hvordan det vanligvis går når man rapporterer til MSRC, er det ganske skremmende.
– Det jeg ønsker er at Microsoft følger prosessen sin for rapportering av sårbarheter, og at de er åpne om problemer når de oppstår. Det er mitt problem med Microsoft – ikke at de hadde denne feilen i utgangspunktet.
Han er også kritisk til at Microsoft heller ikke valgte å betale ut dusør ("bug bounty") for denne sårbarheten.
– Bug bounty-programmet dekker bare den personlige versjonen av Copilot, ikke Microsoft 365 Copilot – som jeg kan forestille meg gjelder 99,9 prosent av Copilot-brukere. For hvem i alle dager betaler for Copilot personlig?
– Jeg synes det er dypt uansvarlig. Feil skjer, det er forståelig. Men det faktum at de ekskluderte Microsoft 365 Copilot fra bug bounty-programmet gjør det klart for meg at de ikke tar dette seriøst i det hele tatt.
