随著人工智慧应用系统越来越普及,相关漏洞影响可能极为深远,相当值得关注。本周资安业者Tenable公布Copilot Studio伺服器请求伪造(SSRF)漏洞CVE-2024-38206细节,并指出这项漏洞能影响该系统的基础设施,攻击者一旦利用,就有可能同时影响多个用户。
这项漏洞在他们通报后,微软已进行修补,并将其列为重大风险漏洞列管。
【攻击与威胁】
这些恶意广告运用了动态关键字插入技术,锁定特定公司或是产品线。在这个案例中,攻击者针对Google的多项产品,在搜寻结果页面中展示与Google相关的恶意广告。这些恶意广告以假乱真,显示的网址甚至与真正的Google产品页面极为相似,使得使用者更容易上当受骗。一旦点击这些恶意广告,受害者便会被导向至假冒的网站。 研究人员还发现一个更为复杂的钓鱼手法,攻击者利用Google Looker Studio制作假冒的Google搜寻页面,透过动态生成的图像来模仿Google页面,但是实际上仅是一张图片。攻击者利用该图片作为诱饵,诱使受害者在互动后触发内嵌的恶意连结,这些连结会将受害者引导至假冒的技术支援页面,进一步诱导他们拨打电话或是进行其他操作。 其他攻击与威胁 人工智慧相关的应用系统当红,这类系统衍生的漏洞也相当受到关注,继上周资安业者Tenable公布Azure Health聊天机器人服务漏洞,本周他们针对微软提供企业自订AI副手功能的工具Copilot Studio,公布当中存在的资安漏洞。 研究人员针对Copilot Studio伺服器请求伪造(SSRF)漏洞CVE-2024-38206进行说明,指出攻击者可透过这项漏洞存取服务内部潜在的敏感资讯,该漏洞被列为重大层级,CVSS风险评分为8.5,微软于8月6日已完成修补并发布公告。 由于这项AI服务有多个租户采用,研究人员测试后指出虽然他们无法直接存取其他租户的资讯,但由于Copilot Studio的基础设施在租户之间共用,一旦其基础设施受到影响,有可能同时影响多个用户,其资安风险也随之放大。 ALBeast冲击的范围有多大?研究人员指出,这项漏洞不仅影响AWS代管的应用程式,其他公有云代管或内部建置的应用系统也可能遭殃。根据调查,他们在37.1万个应用程式里,找到有1.5万个采用ALB验证功能而可能曝险的系统,研究人员已试图联系受到影响的企业组织。 【漏洞与修补】
近期资安日报