Copilot làm hỏng nhật ký kiểm toán nhưng Microsoft không thông báo cho khách hàng

• Đã phát hiện lỗ hổng khiến nhật ký kiểm toán không được ghi lại trong M365 Copilot của Microsoft, dẫn đến việc truy cập tệp không xuất hiện trong log
• Chỉ cần yêu cầu Copilot hoạt động theo một cách cụ thể là có thể truy cập tệp mà không để lại bản ghi kiểm toán, điều này có thể dẫn đến rủi ro từ mối đe dọa nội bộ và vi phạm các quy định pháp lý
• Nhà nghiên cứu đã báo cáo cho MSRC, nhưng Microsoft không cấp CVE và cũng không thông báo cho khách hàng, trái với chính sách chính thức
• Microsoft chỉ phân loại lỗ hổng này ở mức Important và quyết định rằng đã được khắc phục bằng cập nhật tự động nên không cần thông báo riêng
• Tuy nhiên, điều này có thể gây ra các vấn đề bảo mật và pháp lý nghiêm trọng cho những doanh nghiệp trong các ngành chịu quản lý như HIPAA vốn phụ thuộc vào nhật ký kiểm toán, và việc Microsoft thiếu minh bạch đang bị chỉ trích mạnh mẽ

Lỗ hổng nhật ký kiểm toán của Copilot: tổng quan và tác động

• Trong Copilot, dịch vụ AI tiêu biểu mà Microsoft đang tích cực triển khai, đã phát hiện lỗi khiến lịch sử truy cập tệp không được ghi vào nhật ký kiểm toán tùy theo yêu cầu của người dùng
• Thông thường, khi M365 Copilot tóm tắt một tệp, lịch sử truy cập vào tệp đó phải được ghi vào nhật ký kiểm toán, và đây là yếu tố cốt lõi của bảo mật thông tin trong tổ chức
• Tuy nhiên, nếu yêu cầu Copilot không đưa liên kết tệp vào kết quả tóm tắt, sẽ xảy ra hiện tượng log tương ứng hoàn toàn không được ghi lại
  • Ví dụ, ngay cả khi một nhân viên tra cứu số lượng lớn tệp qua Copilot trước khi nghỉ việc, họ vẫn có thể làm rò rỉ dữ liệu mà không để lại dấu vết trong log
• Lỗ hổng này không phải là kiểu tấn công được dàn dựng có chủ ý mà có thể xảy ra một cách tự nhiên ngoài ý muốn; tác giả bài blog đã phát hiện ra nó trong quá trình tự kiểm thử tính năng
• Michael Bargury, CTO của Zenity, cũng đã phát hiện lỗ hổng này từ 1 năm trước và báo cáo cho Microsoft, nhưng đến tận lần báo cáo này nó vẫn bị bỏ mặc trong thời gian dài

Vấn đề với MSRC (báo cáo lỗ hổng) và việc không công nhận biện pháp xử lý

• Microsoft có cung cấp hướng dẫn chính thức và quy trình cho việc báo cáo lỗ hổng, nhưng trong quá trình xử lý thực tế lại không tuân thủ đúng các nội dung đó
• Sau khi tác giả báo cáo lên MSRC, đã xảy ra tình huống khó hiểu như việc tính năng Copilot thay đổi ngay cả khi chưa trải qua đầy đủ các bước tái hiện lỗi
  • Trạng thái báo cáo có thay đổi (tái hiện → phát triển), nhưng thiếu giao tiếp rõ ràng về tiến độ cũng như căn cứ cho các quyết định được đưa ra
• Về việc cấp CVE cho lỗ hổng bảo mật, tác giả được thông báo rằng chỉ khi khách hàng cần trực tiếp thực hiện biện pháp xử lý thì mới được cấp mã chính thức
  • Tuy nhiên, điều này khác với chính sách trước đây của Microsoft, và lỗ hổng này chỉ được xếp hạng ở mức 'Important' nên không có công bố hay thông báo riêng
• Nhìn chung, việc theo dõi tiến độ chỉ được cập nhật một cách bề ngoài mà không gắn với hành động thực tế, khiến trải nghiệm của người báo cáo trở nên kém hiệu quả và thiếu minh bạch

Vấn đề từ việc thiếu công bố và không thông báo cho khách hàng

• Microsoft đã quyết định không cấp CVE cho lỗ hổng lần này và cũng không thông báo cho khách hàng
• Vì đây là loại lỗi có thể rất dễ phát sinh ngay cả do vô tình, nên có khả năng trong thời gian dài nhật ký kiểm toán tại các tổ chức đã bị ghi nhận sai
• Dù có nhiều tổ chức như cơ sở y tế (ví dụ: HIPAA) sử dụng nhật ký kiểm toán cho mục đích pháp lý và tuân thủ quy định, Microsoft vẫn không thông báo cho người dùng về mức độ ảnh hưởng
• Nhật ký kiểm toán là thành phần cốt lõi trong bảo mật tổ chức, ứng phó sự cố và chứng cứ pháp lý, nhưng Microsoft vẫn giữ im lặng về vấn đề liên quan
• Cách tiếp cận này cho thấy những vấn đề bảo mật tiềm ẩn khác cũng có thể bị xử lý mà không công khai, qua đó đặt ra nghi vấn nghiêm trọng về độ tin cậy của tổ chức