- Microsoft'un M365 Copilot'unda denetim günlüklerinin kaydedilmemesine yol açan bir güvenlik açığı keşfedildi; bu da dosya erişimlerinin günlüklerde görünmemesi sorununu doğurdu
- Copilot'tan sadece belirli bir şekilde davranması istenerek denetim kaydı olmadan dosyalara erişim mümkün hale geliyor; bu da içeriden gelen tehditler ve yasal düzenleme ihlalleri riskine yol açabiliyor
- Araştırmacı durumu MSRC'ye bildirdi, ancak Microsoft resmî politikasına rağmen CVE vermedi ve müşterileri de bilgilendirmedi
- Microsoft bu açığı yalnızca 'Önemli (Important)' seviyesinde sınıflandırdı ve otomatik güncellemeyle çözüldüğünü söyleyerek ayrıca duyuru yapılmasına gerek olmadığına karar verdi
- Ancak bu durum, HIPAA gibi düzenlemeye tabi sektörlerde denetim günlüklerine güvenen şirketler için ciddi güvenlik ve hukuki sorunlara yol açabilir; Microsoft'un şeffaflık eksikliği de yoğun biçimde eleştiriliyor
Copilot'taki denetim günlüğü açığı: genel bakış ve etkileri
- Microsoft'un agresif biçimde yaygınlaştırdığı başlıca yapay zeka hizmetlerinden biri olan Copilot'ta, kullanıcı isteğine bağlı olarak dosya erişim geçmişinin denetim günlüğüne yazılmamasına neden olan bir kusur bulundu
- Normalde M365 Copilot bir dosyayı özetlediğinde, o dosyaya erişim kaydının denetim günlüğüne işlenmesi gerekir ve bu, kurum içi bilgi güvenliğinin temel unsurlarından biridir
- Ancak Copilot'tan dosya özet sonucuna dosya bağlantısını eklememesi istendiğinde, ilgili günlüğün hiç kaydedilmediği bir durum ortaya çıkıyor
- Örneğin bir çalışan işten ayrılmadan önce Copilot üzerinden çok sayıda dosyayı görüntülüyor olsa bile, günlük bırakmadan ve iz bırakmadan bunları sızdırabilir
- Bu açık kasıtlı bir saldırı sonucu değil, tesadüfen ve doğal biçimde de ortaya çıkabiliyor; nitekim blog yazarı bunu kendi özellik testleri sırasında keşfetti
- Zenity CTO'su Michael Bargury de bu açığı bir yıl önce fark edip Microsoft'a bildirmişti, ancak konu bu son bildirime kadar uzun süre ele alınmadan kaldı
MSRC'nin (açık bildirimi) sorunları ve müdahalenin kabul edilmemesi
- Microsoft, güvenlik açığı bildirimleri için resmî kılavuzlar ve bir süreç sunuyor, ancak fiilî müdahale sürecinde bunlara gerektiği gibi uymuyor
- Yazar MSRC'ye bildirim yaptıktan sonra, yeniden üretim adımları tamamlanmadan Copilot işlevinin doğrudan değişmesi gibi kafa karıştırıcı durumlar yaşandı
- Bildirim durumu değişiklikleri (yeniden üretim → geliştirme) ilerledi, ancak ilerleme durumu veya karar gerekçeleri hakkında net iletişim eksikti
- Güvenlik açıkları için CVE verilip verilmeyeceği konusunda, müşterinin doğrudan aksiyon alması gerektiğinde ancak resmî numara verildiği yönünde bir tutum iletildi
- Ancak bu, Microsoft'un mevcut politikasıyla çelişiyor ve söz konusu açık yalnızca 'Önemli (Important)' seviyesinde sınıflandırıldığı için ne kamuya açıklama yapıldı ne de ayrıca bildirim gönderildi
- Genel olarak ilerleme takibi, gerçek önlemlerden bağımsız şekilde sadece görünürde güncelleniyor izlenimi verdi; bu da bildirimi yapan kişi açısından verimsiz ve şeffaf olmayan bir deneyimdi
Duyuru ve müşteri bilgilendirmesinin eksikliği neden sorunlu
- Microsoft, bu açık için ne CVE vermeye ne de müşterileri bilgilendirmeye karar verdi
- Bunun yanlışlıkla bile kolayca ortaya çıkabilecek bir hata olması nedeniyle, gerçek kurumlarda uzun bir süre boyunca denetim günlüklerinin yanlış kaydedilmiş olma ihtimali bulunuyor
- Sağlık kurumları (ör. HIPAA) gibi hukuki ve düzenleyici amaçlarla denetim günlüklerini kullanan pek çok kuruluş olmasına rağmen, Microsoft etkiyi kullanıcılara bildirmiyor
- Denetim günlükleri; kurum güvenliği, olay müdahalesi ve hukuki delil gibi birçok alanda temel araç olarak kullanılıyor, ancak Microsoft bu konudaki gerçekler karşısında sessiz kalmayı sürdürüyor
- Bu yaklaşım, diğer olası güvenlik sorunlarının da açıklanmadan kapatılabileceğine işaret ediyor ve kurumun güvenilirliği hakkında ciddi soru işaretleri doğuruyor
Henüz yorum yok.