Содержание
В корпоративном сегменте такое еще более непростительно, чем в потребительском
Внутри Copilot в Microsoft 365 нашлась уязвимость, позволявшая пользователям получать доступ к файлам без записи об этом в журналах аудита.
Проблема затрагивала один из базовых механизмов обеспечения безопасности и соответствия требованиям — но Microsoft не сообщила о ней публично, несмотря на подтвержденную серьезность находки.
Что произошло
По словам CTO стартапа Pistachio Зака Кормана, 4 июля он обнаружил странное поведение: в некоторых случаях Copilot получал доступ к файлам, но такие действия не отображались в логах активности.
После серии тестов оказалось, что достаточно просто попросить Copilot не предоставлять ссылку на файл и операция исчезает из журнала.
Это не была попытка взлома — я просто тестировал поведение журнала активности. И понял, что лог молчит там, где явно должен говоритьЗак КорманCTO Pistachio
Почему это критично
Журналы аудита — важный элемент безопасности. Они используются:
- для расследования инцидентов (внутренних и внешних);
- в рамках комплаенса (например, HIPAA требует точной фиксации доступа к чувствительным данным);
- в судебных спорах как доказательства;
- для мониторинга действий пользователей (в том числе потенциальных инсайдеров).
Проблема заключалась в том, что Copilot мог быть использован для скрытого доступа к данным без следа. И это не какой-то редкий и сложно повторяемый случай использования — такая ситуация могла возникать случайно, при стандартной работе.
Как отреагировала Microsoft
После отчета через Microsoft Security Response Center (MSRC), компания подтвердила наличие уязвимости и классифицировала ее как «important» («важная»). Но дальше процесс пошел нетипично:
- Microsoft отказалась присвоить багу CVE, сославшись на автоматическое исправление, не требующее действий от пользователей.
- Компания не уведомила клиентов о факте уязвимости.
- Несмотря на то, что исправление было завершено 17 августа, публичной информации о проблеме не появилось.
Microsoft считает, что если CVE не присваивается, значит и говорить об этом не нужно. Но для тысяч организаций это означает одно: журналы аудита за все время до 18 августа могут быть неполными — и никто об этом их не предупредитЗак КорманCTO Pistachio
Уже не первая подобная история
Впоследствии выяснилось, что аналогичную проблему находили еще год назад — и также без последствий.
Более того, Zenity (другая компания в сфере облачной безопасности) уже освещала похожий случай. Но Microsoft, по сути, проигнорировала баг до тех пор, пока о нем не заявили повторно.
Почему это важно
Подобное отношение подрывает доверие к ИИ-инструментам в корпоративной среде. Когда речь идет о продуктах уровня Microsoft 365 Copilot, которые активно внедряются в бизнес-среду, прозрачность и надежность базовых функций вроде логирования должны быть приоритетом.