요약 : 보안 외신 해커뉴스에 의하면 MS의 코파일럿 스튜디오(Copilot Studio)에서 고위험도 취약점이 발견됐다고 한다. CVE-2024-38206으로, CVSS 기준 8.5점을 받았으며, 익스플로잇에 성공한 경우 민감한 정보에 접근할 수 있게 된다. 다행히 이 취약점을 제일 먼저 발견한 건 해커들이 아니라 보안 업체 테너블(Tenable)이었다고 한다. 아직 패치가 널리 퍼지지 않았기 때문에 상세한 기술 내용이 공개된 것은 아니지만 ‘서버사이드 요청 조작(SSRF)’ 공격에 대한 보호 장치를 우회할 수 있게 해 주는 취약점이라는 사실이 알려져 있다. 테너블은 얼마 전에도 MS의 애저헬스봇서비스(Azure Health Bot Service)에서 초고위험도 취약점을 발견해 MS에 제보한 바 있다.


배경 : 코파일럿 스튜디오에서 이번에 발견된 취약점은 사용자 입장에서 따로 패치할 필요가 없는 것으로, MS는 “이미 패치를 완료했고, 사용자가 취할 행동은 없다”고 발표했다. 다만 조직의 보안 담당자나 IT 관리자라면 사용하고 있는 코파일럿 스튜디오가 최신 버전인지를 확인할 필요는 있다. 취약점을 제일 먼저 발견한 테너블의 에반 그란트(Evan Grant)는 “이번 취약점을 통해 테넌트 간 이동하며 정보를 훔쳐낼 수 있는 것으로 보이지 않는다”고 강조하기도 했다.

말말말 : “코파일럿 채팅 기록과 신원 확인용 토큰을 잘 조합하면 인스턴스 메타데이터를 확보하는 게 가능해집니다. 이를 통해 내부 자원으로 접근할 수 있게 되며, 데이터베이스의 읽기와 쓰기도 가능해집니다.” -에반 그란트-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>