Một lỗ hổng nghiêm trọng trong Microsoft M365 Copilot đã cho phép người dùng truy cập các tệp nhạy cảm mà không để lại bất kỳ dấu vết nào trong nhật ký kiểm toán (audit logs). Điều này tạo ra các rủi ro đáng kể về an ninh mạng và tuân thủ quy định cho các tổ chức trên toàn cầu.

Lỗi này được phát hiện vào tháng 7 năm 2024 và đã được Microsoft phân loại là một lỗ hổng “quan trọng”. Tuy nhiên, thông tin về nó vẫn bị che giấu phần lớn khỏi khách hàng cho đến khi được công khai.

Phân Tích Kỹ Thuật Lỗ Hổng M365 Copilot

Lỗ hổng này khai thác một điểm yếu cơ bản trong cách Copilot xử lý việc ghi nhật ký kiểm toán. Theo các quy trình bình thường, khi người dùng yêu cầu M365 Copilot tóm tắt tài liệu, hệ thống sẽ ghi lại các sự kiện truy cập này vào nhật ký kiểm toán. Đây là một tính năng bảo mật quan trọng để theo dõi quyền truy cập tệp.

Tuy nhiên, các nhà nghiên cứu đã phát hiện ra rằng, chỉ cần yêu cầu Copilot tránh cung cấp các liên kết tệp, các mục nhật ký kiểm toán này sẽ biến mất hoàn toàn. Điều này có nghĩa là nhật ký kiểm toán sẽ không chính xác. Đối với một tác nhân nội bộ độc hại, việc tránh bị phát hiện trở nên đơn giản chỉ bằng cách đưa ra yêu cầu này cho Copilot.

Tính chất đơn giản của lỗ hổng M365 Copilot cho thấy nó có thể xảy ra ngẫu nhiên trong quá trình tương tác Copilot hàng ngày. Nhiều tổ chức có thể đang sở hữu các nhật ký kiểm toán không đầy đủ mà không hề hay biết.

Hậu Quả và Rủi Ro An Ninh Mạng

Hậu quả của lỗ hổng này vượt xa những lo ngại về bảo mật đơn thuần. Các tổ chức phải tuân thủ các yêu cầu quy định như HIPAA phụ thuộc vào nhật ký kiểm toán toàn diện để chứng minh sự tuân thủ các yêu cầu bảo vệ kỹ thuật.

Các thủ tục pháp lý thường dựa vào nhật ký kiểm toán như bằng chứng quan trọng. Chính phủ Hoa Kỳ trước đây cũng đã nhấn mạnh nhật ký kiểm toán là một tính năng bảo mật thiết yếu. Việc thiếu sót các bản ghi này có thể ảnh hưởng nghiêm trọng đến khả năng tuân thủ và đối phó với các cuộc điều tra pháp lý.

Đây là một rủi ro bảo mật đáng báo động, đặc biệt khi các hệ thống AI ngày càng được tích hợp sâu vào quy trình nghiệp vụ, đòi hỏi sự minh bạch và tin cậy cao hơn trong các tính năng bảo mật cốt lõi.

Phản Ứng và Minh Bạch của Microsoft

Lỗ hổng này đã được báo cáo cho Microsoft thông qua cổng Microsoft Security Response Center (MSRC) vào ngày 4 tháng 7 năm 2024. Tuy nhiên, quy trình xử lý đã đi chệch khỏi các hướng dẫn công bố của công ty.

Thay vì tuân theo các giai đoạn tái tạo và phát triển đã thiết lập, Microsoft dường như đã âm thầm khắc phục sự cố. Báo cáo vẫn ở trạng thái “đang tái tạo” trong hệ thống MSRC trong suốt thời gian này.

Điều đáng lo ngại nhất là quyết định của Microsoft không cấp số CVE (Common Vulnerabilities and Exposures) hoặc thông báo cho khách hàng về lỗ hổng. Khi được chất vấn về cách tiếp cận này, Microsoft đã viện dẫn chính sách chỉ cấp CVE cho các lỗ hổng “nghiêm trọng”, mặc dù họ đã phân loại vấn đề này là “quan trọng”. Theo báo cáo, công ty không có kế hoạch tiết lộ sự tồn tại của lỗ hổng M365 Copilot cho khách hàng bị ảnh hưởng.

Tác Động Đến Tổ Chức và Khuyến Nghị

Microsoft đã triển khai bản vá bảo mật vào ngày 17 tháng 8 năm 2024. Bản vá này được tự động áp dụng cho các hệ thống Copilot mà không yêu cầu sự can thiệp của người dùng. Tuy nhiên, các tổ chức đã sử dụng Copilot trước ngày này có thể có nhật ký kiểm toán bị sai lệch. Hiện tại không có cách nào để biết những quyền truy cập nào đã không được ghi lại.

Quyết định công khai lỗ hổng của nhà nghiên cứu xuất phát từ việc Microsoft từ chối thông báo cho khách hàng về các khoảng trống trong nhật ký kiểm toán. Tình huống này đặt ra những câu hỏi rộng hơn về các hoạt động minh bạch của Microsoft và số lượng các vấn đề bảo mật khác có thể đang được âm thầm giải quyết mà không thông báo cho khách hàng.

Đối với các tổ chức phụ thuộc nhiều vào nhật ký kiểm toán để giám sát bảo mật và tuân thủ quy định, sự cố này làm nổi bật những rủi ro khi tin tưởng các hệ thống AI tự động với các chức năng bảo mật quan trọng. Nó cũng nhấn mạnh sự cần thiết của các thực tiễn kiểm toán bảo mật toàn diện, vượt ra ngoài các cơ chế ghi nhật ký do nhà cung cấp cung cấp. Để biết thêm chi tiết kỹ thuật về phát hiện này, bạn có thể tham khảo bài viết gốc tại PistachioApp Blog.