Microsoft tamamen yapay zekaya dayanmaktadır: Copilot asistanı artık Cloud M365'e dayanan ofis paketinin ayrılmaz bir parçasıdır. Birçok şirket de gizli bilgileri yönetmek için bu hizmeti kullanır. Söylemeye gerek yok, bu tür hassas belgelere herhangi bir erişim kaydedilmelidir. Ancak, Copilot bunu belirli koşullar altında farklı gördü. Microsoft aylarca boşluğu öğrendi, ancak sadece birkaç gün önce emekli oldu. Şirket, ilgili kişilere veya halkı bilgilendirmedi.
“Copilot, 2025'in ikinci çeyreği için yıllık raporu özetleyin” – böyle bir şey tipik bir istek olabilir. “Denetim kaydı” nda, yani Microsoft Cloud'daki belgelere tüm erişimin kaydı görüntülenir, daha sonra Copilot'un Origin belgesine bir okuma erişimi görüntülenir. Ancak sanal asistan, M365'te arşivlenen özel bir belgeye yanıt verilmişse, bu sadece boş bir protokol öğesi üretmiştir. Bu davranışı oluşturmak için, belgeyi cevapta bağlama isteği, ancak yalnızca özetlemek gerekirse.
Bu garip davranış, bir SaaS girişiminin CTO'su Zack Karman'ı Temmuz 2025'in başında fark etti. Onun için sorunlu görünüyordu, çünkü sadece tam denetim kayıtları yoluyla güvenlik ve uyumluluk gereksinimleri belgelerin yetkisiz ellerde drenajını uygulayabilir ve tanıyabilir. Aşırı meraklı ve hatta alıcı bir çalışanı, CO -pilot'un hatasından yararlanabilmiştir ve tespit edilmeyen tespit edilmeyen protokolleri elde edebildi, açıkça bir güvenlik sorunudur.
Güvenlik bir süreçtir – ama hangisi?
Bu yüzden Karman, Microsoft Güvenlik Yanıt Merkezi'ne (MSRC) bildirdi ve Redmond'un profesyonellerinin belgelenmiş süreçlere saygı duyduklarına, sorunu çözeceğine ve müşterileri bilgilendireceğine güvendi. Bununla birlikte, ilk öfori hızla hayal kırıklığına yol açtı: MSRC ilişkisinden sadece üç gün sonra başlamış olsa da, sorun sorunu yeniden yaratmaktı, ancak üç gün sonra, 10 Temmuz'da teknisyenler zaten bir hata başlatmıştı.
Bu, Korman'a tekrar Redemen'le neden olan ve devleti soran süreci tanımıyla çelişti. 2 Ağustos'ta yazılım devi şunları bildirdi: İki hafta sonra, 17 Ağustos'ta M365 Cloud ve Karman için bir güncelleme kaydedilecek. Araştırmasını bir gün sonra yayınlayabilir. Bulduğu boşlukla zayıflık tanımını ne zaman aldığını sorduğunda, MSRC olumsuz bir etkiye cevap verdi. Son müşterilerin tek başına hareket etmeleri gerekmiyorsa, genellikle bulut ürünlerindeki boşluklar için CVE kimliği yoktur.
Bu aynı zamanda MSRC'nin bir yıl önce yaptığı açıklamalarla da açıkça çelişti. O zaman, gelecekte, müşterilerin tek başına çalışmaması gereken durumlarda bile, kritik boşluklar için bulut hizmetlerinde kimlik CVE atamak istedikleri söylendi. Bu daha fazla şeffaflığı garanti etmeli, MSRC bir güvenlik gausunun omurgasının suyunu vaat etti: Muhtemelen Çinli saldırganlar Azure için ana anahtar çalmıştı. Ancak Copilot'un boşluğuna geri dönelim: Karman bu tutarsızlığı fark ettiğinde, Microsoft güvenlik ekibi selamladı. Süreç boyunca tam bir vizyona sahip olmadığı, biraz pasif-agresif olduğu anlaşılmaktadır, ancak boşluk sadece “önemli” ve “kritik” olarak sınıflandırılmıştır. Bu şekilde, bir ID CVE'nin tahsisi için Microsoft eşiğinin altına düşer.
Aylarca yanlış denetim kayıtları? Bahsetmeye değmez!
Karman tekrar şaşırdı: Bugüne kadar, güvenlik açığının sınıflandırılması hakkında hiçbir şey bilmiyordu – genellikle ilgili şirket keşifçi ile birlikte gerçekleştirildi ve gerekirse tartıştı. Ancak bu durumda, Microsoft kendini şeffaflık kadar sundu. 14 Ağustos'ta Korman, sadece bir kimlik CVE tahsisi olmadan değil, aynı zamanda müşterileri boşluk hakkında bilgilendirmesi beklenmiyor.
Bu arada, keşfedici sorunun şüphelendiğinden çok daha fazla zaman harcaması gerektiğini tespit etmişti: AI girişiminin kurucusu Korman'ın keşfinden bir yıl önce Ağustos 2024'te, Microsoft Cloud'a erişimin kaydedilmesinden bir yıl önce, siyahların güvenliğinde bir derste Microsoft Cloud'a erişim kaydında dikkat çekti. Redmond yazılım devinin sorunu halletmesi için çok zaman, ancak bu sadece geçen hafta tepki verdi.
M365 ve copilot kullanan şirketler için, bir chagor tattan sonra kalır. Denetim protokollerinizin aylarca kusurlu olabileceğini ve artık anlaşılabilir olmadıklarını kabul etmiş olmalısınız. Saldırganlar ve endüstriyel casuslar, geçen yıl Araçlarına Kara Şapka Konferansı'ndan hızlı zamanlar içerebilir ve bu da etkilenen insanlar arasındaki uygunluk karnındaki ağrıyı artırmalıdır.
Microsoft, geçen yıl Azure felaketinden sonra güven inşasının bir ölçüsü olarak “Gelecek Başlangıç Sorusunu” olarak adlandırdı, ancak özensiz ve sefil iletişim güvenlik yamaları nedeniyle aylarca eleştirildi. Haberler Security'nin kurucusu Jürgen Schmidt onları rustik bir kelime dağarcığı olan bir yorumda özetledi: saçmalık. Son kaza bu izlenimi pekiştiriyor gibi görünüyor.
(CKU)
Bir yanıt yazın