Una vulnerabilidad crítica en Microsoft Copilot Enterprise permite el acceso raíz no autorizado a su contenedor de back -end.
El problema se originó en una actualización de abril de 2025 que introdujo una caja de arena de Python Live impulsada por Jupyter Notebook, diseñada para ejecutar el código sin problemas. Lo que comenzó como una mejora de características se convirtió en un patio de recreo para la explotación, destacando los riesgos en los sistemas integrados de AI.
La vulnerabilidad se detalló en una publicación de blog publicada por Eye Security, que comparó juguetonamente la interacción con el copilot para convencer a un niño impredecible. Usando la sintaxis del comando %de Jupyter, ejecutaron comandos arbitrarios de Linux como el usuario ‘Ubuntu’ dentro de un entorno Miniconda.
A pesar de que el usuario está en el grupo sudo, no existía un binario sudo, agregando una capa irónica a la configuración. La Sandbox reflejó el modelo de ChatGPT, pero contó con un nuevo kernel y Python 3.12, en comparación con el 3.11 de Chatgpt en ese momento.
Exploration reveló el papel principal de Sandbox en la ejecución de cuadernos Jupyter junto con un servidor Tika. El contenedor presentaba una interfaz de red local de enlaces limitados con A /32 Netmask, utilizando un sistema de archivos OverlayFS vinculado a una ruta A /Legion en el host.
Los scripts personalizados residían en el directorio /App, y después de los comandos persistentes, el copiloto podría persuadir a descargar archivos o carpetas de alquitrán, copiándolos a /mnt /datos para acceso externo a través de enlaces blob en Outlook.Office (.) Com.
Un binario clave, GOCLientApp en /App, actuó como la interfaz del contenedor, ejecutando un servidor web en el puerto 6000 para las solicitudes de publicación a los puntos finales.
Las cargas útiles JSON simples, como {“Código”: “%Env”}, activaron la ejecución del código en el entorno Jupyter. Un binario httpproxy insinuó futuras capacidades de tráfico salientes, aunque la salida estaba deshabilitada.
El script EntryPoint.sh, que se ejecuta como root, demostró ser fundamental. Retuvo privilegios para la mayoría de los procesos, pero lanzó KeepAliveJupytersvc.sh como root. Una supervisión crítica en la línea 28 involucró un comando PGREP sin una ruta completa, ejecutada en un bucle ‘While True’ cada dos segundos.
Esto se basaba en la variable de ruta $, que incluía directorios de escritura como/App/Miniconda/bin antes/usr/bin, donde reside el PGREP legítimo.
Explotando esto, los investigadores elaboraron un guión malicioso de Python disfrazado de PGREP en el camino de la escritura. Cargado a través de Copilot, leía comandos de/mnt/data/in, los ejecutó con popen y salió a/mnt/data/out.
Esto concedió el acceso raíz, habilitando la exploración del sistema de archivos, aunque no se encontraron datos confidenciales o rutas de ruptura, como las vulnerabilidades conocidas fueron parcheadas.
Seguridad ocular reportado El problema al Centro de Respuesta a Seguridad de Microsoft (MSRC) el 18 de abril de 2025. La vulnerabilidad se solucionó antes del 25 de julio, clasificada como gravedad moderada. No se otorgó ninguna recompensa, solo un reconocimiento en la página de investigadores de Microsoft.
Los investigadores notaron que la exploit arrojó “absolutamente nada” más allá de la diversión, pero se burlaron de más descubrimientos, incluido el acceso al Panel de Operaciones de AI responsables para el copiloto y 21 servicios internos a través del abuso de Entra Oauth.
Este incidente subraya la espada de doble filo de las cajas de arena de IA: innovador pero vulnerable a los ataques creativos. Microsoft no ha comentado públicamente, pero Swift Fix demuestra medidas de seguridad proactivas en los paisajes de IA en evolución.
Experimenta una detección de phishing más rápida y precisa y una protección mejorada para su negocio con análisis de sandbox en tiempo real-> Prueba cualquiera.
