Copilot dañó los registros de auditoría, pero Microsoft no avisó a los clientes

 (pistachioapp.com)
3 puntos por GN⁺ 2025-08-21 | Aún no hay comentarios. | Compartir por WhatsApp
  • Se descubrió una vulnerabilidad en M365 Copilot de Microsoft que impedía registrar los logs de auditoría, lo que provocaba que los accesos a archivos no quedaran reflejados en los registros
  • Con solo pedirle a Copilot que actuara de cierta manera, era posible acceder a archivos sin dejar registros de auditoría, lo que podría derivar en riesgos de amenazas internas y de incumplimiento regulatorio
  • El investigador lo reportó a MSRC, pero Microsoft no emitió un CVE ni avisó a los clientes, pese a que eso contradice su política oficial
  • Microsoft clasificó la vulnerabilidad solo con nivel Important y decidió que no hacía falta un aviso adicional porque se resolvió mediante actualización automática
  • Sin embargo, esto puede causar graves problemas legales y de seguridad para empresas de sectores regulados que dependen de los logs de auditoría, como los sujetos a HIPAA, y la falta de transparencia de Microsoft está recibiendo fuertes críticas

Vulnerabilidad de auditoría en Copilot: panorama general e impacto

  • Se descubrió un fallo en Copilot, uno de los principales servicios de IA que Microsoft está impulsando activamente, por el cual los accesos a archivos no quedaban registrados en los logs de auditoría según la solicitud del usuario
  • En condiciones normales, cuando M365 Copilot resume un archivo, ese acceso debería registrarse en el log de auditoría, algo clave para la seguridad de la información dentro de una organización
  • Sin embargo, si se le pedía a Copilot que no incluyera enlaces al archivo en el resultado del resumen, ese log simplemente no se registraba
    • Por ejemplo, un empleado podría consultar una gran cantidad de archivos mediante Copilot antes de renunciar y filtrar información sin dejar rastro en los registros
  • Esta vulnerabilidad no requería un hackeo elaborado; podía ocurrir de forma natural e incluso fue descubierta accidentalmente por el autor del blog durante una prueba interna de funciones
  • Michael Bargury, CTO de Zenity, también había encontrado y reportado esta vulnerabilidad a Microsoft un año antes, pero siguió sin resolverse durante mucho tiempo hasta este nuevo reporte

Problemas en MSRC (reporte de vulnerabilidades) y falta de reconocimiento de la respuesta

  • Microsoft ofrece una guía oficial y un proceso para reportar vulnerabilidades, pero en la práctica no los sigue adecuadamente durante la gestión del caso
  • Después de que el autor reportó el problema a MSRC, se produjo una situación confusa en la que la función de Copilot cambió de inmediato sin que antes se hubieran completado los pasos de reproducción
    • Hubo cambios de estado del reporte (reproducción → desarrollo), pero faltó una comunicación clara sobre el avance y los motivos de las decisiones
  • Respecto a la emisión de un CVE para vulnerabilidades de seguridad, le comunicaron que solo se asigna un identificador oficial cuando el cliente necesita tomar medidas directas
    • Sin embargo, eso contradice la política previa de Microsoft, y esta vulnerabilidad fue clasificada simplemente como de nivel 'Important', sin divulgación ni notificación adicional
  • En conjunto, el seguimiento del progreso parecía actualizarse solo de forma visible, sin relación real con las medidas tomadas, lo que convirtió la experiencia del reportante en algo ineficiente y poco transparente

Problemas por la falta de aviso y notificación a los clientes

  • Microsoft decidió no emitir un CVE ni notificar a los clientes sobre esta vulnerabilidad
  • Como se trata de un error que puede producirse con facilidad incluso por accidente, existe la posibilidad de que en organizaciones reales los logs de auditoría hayan estado registrándose incorrectamente durante mucho tiempo
  • Aunque muchas organizaciones, incluidas entidades de salud (por ejemplo, bajo HIPAA), usan los logs de auditoría con fines legales y regulatorios, Microsoft no informó a los usuarios sobre el impacto
  • Los logs de auditoría son fundamentales para la seguridad organizacional, la respuesta a incidentes y la evidencia legal, pero Microsoft ha guardado silencio sobre el tema
  • Este enfoque sugiere que otros posibles problemas de seguridad también podrían manejarse sin divulgación, lo que plantea serias dudas sobre la confiabilidad de la organización

Lecturas relacionadas

Aún no hay comentarios.

Aún no hay comentarios.