Copilot merusak log audit, tetapi Microsoft tidak memberi tahu pelanggan

• Ditemukan kerentanan pada M365 Copilot yang menyebabkan log audit tidak tercatat, sehingga akses file tidak meninggalkan jejak di log
• Hanya dengan meminta Copilot bertindak dengan cara tertentu, akses file dapat dilakukan tanpa catatan audit, yang dapat memicu risiko ancaman orang dalam dan pelanggaran regulasi hukum
• Peneliti telah melaporkannya ke MSRC, tetapi Microsoft tidak menerbitkan CVE maupun memberi tahu pelanggan, bertentangan dengan kebijakan resminya
• Microsoft hanya mengklasifikasikan kerentanan ini pada tingkat Important, dan memutuskan tidak perlu pemberitahuan terpisah karena diklaim sudah diperbaiki lewat pembaruan otomatis
• Namun hal ini dapat menimbulkan masalah keamanan dan hukum yang serius bagi perusahaan di industri teregulasi seperti HIPAA yang bergantung pada log audit, dan kurangnya transparansi Microsoft menuai kritik besar

Kerentanan log audit Copilot: gambaran umum dan dampak

• Pada Copilot, layanan AI andalan yang tengah gencar diadopsi Microsoft, ditemukan cacat yang membuat riwayat akses file tidak tercatat di log audit tergantung pada permintaan pengguna
• Dalam kondisi normal, saat M365 Copilot merangkum file, riwayat akses ke file tersebut seharusnya dicatat di log audit, dan ini merupakan elemen inti keamanan informasi dalam organisasi
• Namun, jika Copilot diminta agar tidak menyertakan tautan file dalam hasil ringkasan, terjadi kondisi di mana log terkait sama sekali tidak tercatat
  • Misalnya, meskipun seorang karyawan melihat banyak file melalui Copilot sebelum resign, data dapat dibocorkan tanpa jejak karena tidak ada log
• Kerentanan ini bukan hasil peretasan yang disengaja, melainkan dapat terjadi secara alami tanpa sengaja, dan penulis blog menemukannya saat melakukan pengujian fitur internal
• CTO Zenity, Michael Bargury, juga telah menemukan kerentanan yang sama dan melaporkannya ke Microsoft setahun lalu, tetapi hingga laporan kali ini masalah tersebut dibiarkan terlalu lama

Masalah pada MSRC (pelaporan kerentanan) dan penolakan pengakuan penanganan

• Microsoft menyediakan panduan resmi dan proses untuk pelaporan kerentanan, tetapi dalam penanganan nyata perusahaan tidak mematuhinya dengan baik
• Setelah penulis melaporkannya ke MSRC, situasi membingungkan terjadi, seperti fitur Copilot langsung berubah meski langkah reproduksi belum dijalankan
  • Status laporan berubah (reproduksi → pengembangan), tetapi komunikasi yang jelas tentang progres dan dasar pengambilan keputusan sangat kurang
• Terkait apakah CVE akan diterbitkan, penulis diberi tahu bahwa nomor resmi hanya diberikan jika pelanggan perlu mengambil tindakan langsung
  • Namun ini berbeda dari kebijakan Microsoft sebelumnya, dan kerentanan ini hanya diklasifikasikan sebagai 'Important' tanpa pengungkapan atau notifikasi terpisah
• Secara keseluruhan, pelacakan progres tampak hanya diperbarui secara visual tanpa kaitan jelas dengan tindakan nyata, sehingga dari sudut pandang pelapor proses ini terasa tidak efisien dan tidak transparan

Masalah tidak adanya pengumuman dan pemberitahuan kepada pelanggan

• Microsoft memutuskan tidak menerbitkan CVE maupun memberi tahu pelanggan tentang kerentanan ini
• Karena ini adalah kesalahan yang bahkan mudah terjadi tanpa sengaja, ada kemungkinan log audit telah tercatat secara keliru dalam waktu lama di organisasi nyata
• Meski banyak organisasi, termasuk institusi kesehatan (misalnya yang tunduk pada HIPAA), menggunakan log audit untuk tujuan hukum dan kepatuhan regulasi, Microsoft tidak memberi tahu pengguna tentang dampaknya
• Log audit digunakan secara krusial untuk keamanan organisasi, respons insiden, dan bukti hukum di berbagai bidang, tetapi Microsoft memilih untuk tetap diam soal fakta ini
• Pendekatan seperti ini mengisyaratkan bahwa masalah keamanan potensial lain juga bisa diproses tanpa pengungkapan, sehingga menimbulkan pertanyaan serius tentang keandalan dan kepercayaan terhadap organisasi tersebut