Copilot ทำให้บันทึกการตรวจสอบเสียหาย แต่ Microsoft ไม่แจ้งลูกค้า

• พบ ช่องโหว่ใน M365 Copilot ของ Microsoft ที่ทำให้ไม่มีการบันทึก audit log ส่งผลให้การเข้าถึงไฟล์ไม่ถูกทิ้งร่องรอยไว้ในล็อก
• เพียงสั่ง Copilot ให้ทำงานในลักษณะเฉพาะ ก็สามารถ เข้าถึงไฟล์ได้โดยไม่มีบันทึกการตรวจสอบ ซึ่งอาจนำไปสู่ความเสี่ยงจากบุคคลภายในและการละเมิดข้อกำหนดทางกฎหมาย
• นักวิจัยได้รายงานไปยัง MSRC แต่ Microsoft ไม่ออก CVE และไม่แจ้งลูกค้า แม้จะขัดกับนโยบายทางการของตนเอง
• Microsoft จัดช่องโหว่นี้ไว้เพียงระดับ Important และตัดสินว่า แก้ไขแล้วผ่านการอัปเดตอัตโนมัติ จึงไม่จำเป็นต้องมีประกาศเพิ่มเติม
• อย่างไรก็ตาม สิ่งนี้อาจก่อให้เกิด ปัญหาด้านความปลอดภัยและกฎหมายอย่างร้ายแรงต่อองค์กรที่พึ่งพา audit log ในอุตสาหกรรมที่มีการกำกับดูแล เช่น HIPAA และการขาดความโปร่งใสของ Microsoft ก็กำลังถูกวิจารณ์อย่างหนัก

ช่องโหว่ audit log ของ Copilot: ภาพรวมและผลกระทบ

• พบข้อบกพร่องใน Copilot ซึ่งเป็นบริการ AI หลักที่ Microsoft กำลังผลักดันอย่างมาก โดยเมื่อทำตามคำขอของผู้ใช้แล้ว ประวัติการเข้าถึงไฟล์อาจไม่ถูกบันทึกลงใน audit log
• ตามปกติ เมื่อ M365 Copilot สรุปไฟล์ให้ รายการการเข้าถึงไฟล์นั้นควรถูกบันทึกลงใน audit log ซึ่งเป็นหัวใจสำคัญของความมั่นคงปลอดภัยข้อมูลภายในองค์กร
• แต่หากสั่ง Copilot ไม่ให้ใส่ลิงก์ไฟล์ในผลสรุปของไฟล์ จะเกิด อาการที่ไม่มีการบันทึกล็อกดังกล่าวเลย
  • ตัวอย่างเช่น แม้พนักงานจะเปิดดูไฟล์จำนวนมากผ่าน Copilot ก่อนลาออก ก็อาจนำข้อมูลออกไปได้โดยไม่ทิ้งร่องรอยในล็อก
• ช่องโหว่นี้ไม่ได้เกิดจากการแฮ็กแบบจงใจเท่านั้น แต่สามารถเกิดขึ้นได้ตามธรรมชาติอย่างไม่ตั้งใจ และผู้เขียนบล็อกก็พบมันระหว่างการทดสอบฟังก์ชันภายในของตนเอง
• Michael Bargury, CTO ของ Zenity ก็เคยพบช่องโหว่นี้และรายงานให้ Microsoft ทราบตั้งแต่ 1 ปีก่อนแล้ว แต่ยังถูกปล่อยทิ้งไว้นานจนถึงการแจ้งครั้งนี้

ปัญหาของ MSRC (การรายงานช่องโหว่) และการไม่ยอมรับแนวทางตอบสนอง

• Microsoft มี คู่มืออย่างเป็นทางการ และกระบวนการสำหรับการรายงานช่องโหว่ แต่ในกระบวนการตอบสนองจริงกลับไม่ได้ปฏิบัติตามอย่างเหมาะสม
• หลังผู้เขียนรายงานไปยัง MSRC ก็เกิดสถานการณ์ที่ชวนสับสน เช่น ฟีเจอร์ของ Copilot ถูกเปลี่ยนทันทีทั้งที่ยังไม่ได้ทำขั้นตอนยืนยันการทำซ้ำปัญหา
  • แม้จะมีการเปลี่ยนสถานะของรายงาน (เช่น reproducible → development) แต่ก็ขาดการสื่อสารที่ชัดเจนเกี่ยวกับความคืบหน้าและเหตุผลของการตัดสินใจ
• ในประเด็น การออก CVE สำหรับช่องโหว่ด้านความปลอดภัย ผู้เขียนได้รับคำชี้แจงว่า Microsoft จะให้หมายเลขทางการก็ต่อเมื่อลูกค้าจำเป็นต้องดำเนินการเองเท่านั้น
  • แต่นี่ขัดกับนโยบายเดิมของ Microsoft และช่องโหว่นี้ก็ถูกจัดเพียงระดับ 'Important' ทำให้ไม่มีการเปิดเผยหรือแจ้งเตือนแยกต่างหาก
• โดยรวมแล้ว การติดตามความคืบหน้าดูเหมือนถูกอัปเดตให้มองเห็นได้เท่านั้น โดยไม่สัมพันธ์กับการดำเนินการจริง ทำให้ผู้รายงานรู้สึกว่ากระบวนการนี้ไม่มีประสิทธิภาพและขาดความโปร่งใส

ปัญหาจากการไม่มีประกาศและการไม่แจ้งลูกค้า

• Microsoft ตัดสินใจ ไม่ออก CVE และไม่แจ้งลูกค้า เกี่ยวกับช่องโหว่นี้
• เนื่องจากนี่เป็นความผิดพลาดที่เกิดขึ้นได้ง่ายแม้โดยไม่ตั้งใจ จึงมีความเป็นไปได้ว่าในองค์กรจริง audit log อาจถูกบันทึกอย่างผิดพลาดมาเป็นเวลานาน
• แม้จะมีหลายองค์กร เช่น สถาบันทางการแพทย์ที่ใช้ audit log เพื่อวัตถุประสงค์ทาง กฎหมายและการกำกับดูแล (เช่น HIPAA) แต่ Microsoft ก็ไม่ได้แจ้งผู้ใช้เกี่ยวกับผลกระทบดังกล่าว
• audit log ถูกใช้อย่างสำคัญในหลายด้าน เช่น ความปลอดภัยขององค์กร การตอบสนองต่อเหตุการณ์ และหลักฐานทางกฎหมาย แต่ Microsoft กลับเลือกที่จะเงียบเกี่ยวกับข้อเท็จจริงนี้
• แนวทางเช่นนี้ยังชี้ให้เห็นว่าปัญหาความปลอดภัยอื่นที่อาจเกิดขึ้นก็อาจถูกจัดการแบบไม่เปิดเผยเช่นกัน และทำให้เกิดคำถามร้ายแรงต่อความน่าเชื่อถือขององค์กร