O Copilot corrompeu os logs de auditoria, mas a Microsoft não avisou os clientes

• Foi descoberta uma vulnerabilidade no M365 Copilot que impedia o registro de logs de auditoria, causando um problema em que acessos a arquivos não ficavam registrados no log
• Bastava pedir ao Copilot para agir de uma determinada forma para que fosse possível acessar arquivos sem qualquer registro de auditoria, o que pode levar a riscos de ameaça interna e violações de exigências regulatórias e legais
• O pesquisador reportou o caso ao MSRC, mas a Microsoft não emitiu um CVE nem avisou os clientes, apesar de sua política oficial indicar o contrário
• A Microsoft classificou a falha apenas no nível Important e decidiu que, como o problema foi corrigido por atualização automática, não seria necessário um aviso separado
• No entanto, isso pode causar graves problemas de segurança e jurídicos para empresas de setores regulados que dependem de logs de auditoria, como os sujeitos à HIPAA, e a falta de transparência da Microsoft vem sendo fortemente criticada

Vulnerabilidade nos logs de auditoria do Copilot: visão geral e impacto

• Foi encontrada uma falha no Copilot, principal serviço de IA que a Microsoft vem promovendo ativamente, em que o histórico de acesso a arquivos não era registrado nos logs de auditoria dependendo da solicitação do usuário
• Em condições normais, quando o M365 Copilot resume um arquivo, o acesso àquele arquivo deve ser registrado no log de auditoria, o que é um elemento central da segurança da informação dentro das organizações
• Porém, ao pedir ao Copilot que não incluísse links para os arquivos no resultado do resumo, ocorria o fenômeno de esse log simplesmente não ser registrado
  • Por exemplo, mesmo que um funcionário consultasse em massa vários arquivos pelo Copilot antes de sair da empresa, poderia vazar essas informações sem deixar rastros e sem logs
• Essa vulnerabilidade não exigia um ataque elaborado; ela podia ocorrer naturalmente e até por acaso, tendo sido descoberta pelo autor do blog durante testes internos de funcionalidades
• Michael Bargury, CTO da Zenity, também já havia identificado essa vulnerabilidade e a reportado à Microsoft um ano antes, mas ela permaneceu sem tratamento por um longo período até este novo relato

Problemas no MSRC (relato de vulnerabilidades) e falta de reconhecimento da resposta

• A Microsoft fornece uma orientação oficial e um processo para relatos de vulnerabilidades, mas, na prática, não os segue adequadamente durante o tratamento dos casos
• Depois que o autor reportou o caso ao MSRC, ocorreu uma situação confusa em que a funcionalidade do Copilot mudou imediatamente, mesmo sem terem sido seguidos os passos de reprodução
  • Houve mudanças no status do relato (reprodução → desenvolvimento etc.), mas faltou comunicação clara sobre o andamento e sobre os motivos das decisões tomadas
• Sobre a emissão de um CVE para vulnerabilidades de segurança, foi informado que um número oficial só é atribuído quando o cliente precisa tomar uma ação direta
  • No entanto, isso difere da política anterior da Microsoft, e essa vulnerabilidade foi apenas classificada como Important, sem divulgação ou notificação específica
• De forma geral, o próprio acompanhamento do progresso parecia ser atualizado apenas de forma visível, sem relação real com as ações tomadas, o que tornou a experiência ineficiente e pouco transparente para quem fez o relato

Problemas da ausência de anúncio e de aviso aos clientes

• A Microsoft decidiu não emitir um CVE nem avisar os clientes sobre essa vulnerabilidade
• Como se trata de um erro que pode ocorrer facilmente até por engano, existe a possibilidade de que, em organizações reais, os logs de auditoria tenham sido registrados incorretamente por muito tempo
• Mesmo havendo muitas organizações, como instituições de saúde (ex.: HIPAA), que utilizam logs de auditoria para fins legais e regulatórios, a Microsoft não informou os usuários sobre o impacto
• Logs de auditoria são usados de forma central em segurança organizacional, resposta a incidentes e provas legais, mas a Microsoft manteve silêncio sobre o caso
• Essa abordagem sugere que outros possíveis problemas de segurança também podem estar sendo tratados sem divulgação, levantando sérias dúvidas sobre a confiabilidade da empresa