Cybersecurity-firmaet Eye Security har avdekket en kritisk sårbarhet i Microsoft Copilot Enterprise som gjorde det mulig for forskerne å få kontroll på rotnivå og utføre vilkårlig kode i AI-assistentens backend. Det nederlandske sikkerhetsselskapet oppdaget feilen allerede i april 2025, men ga ut detaljer om hendelsen nå.
Sårbarheten stammet fra en bane som kaprer svakhet i plattformens Jupyter notatbok sandkasse. Microsoft lappet stille feilen etter å ha blitt varslet, men kontroversielt klassifiserte den som bare”moderat”alvorlighetsgrad og tildelte ikke en bug-dusør.
Eye Security publiserte sine funn 25. juli, og reiste ferske spørsmål om sikkerhetsposisjonen til Microsofts raskt utplasserte AI-tjenester og dens avsløringsprosess. The disclosure comes as Redmond grapples with the fallout from a massive SharePoint zero-day attack.
Anatomy of the Exploit: From Sandkasse til rot
Utnyttelsen, detaljert i en teknisk oppskrivning av øyesikkerhet , demonstrerer en klassisk privilegium på en teknisk oppskrivning av øyesikkerhet , demonstrerer en klassisk privilegium. Forskere begynte med å undersøke den live Python Sandbox som Microsoft lydløst la til Copilot Enterprise i april 2025, og fant ut at de kunne utføre systemkommandoer direkte ved hjelp av Jupyter Notebook Syntax.
Denne første tilgangen plasserte dem inne i en beholder som en bruker som heter ‘Ubuntu’ i et miniconda-miljø. Mens denne brukeren var en del av ‘sudo’ gruppen, manglet Sudo-binæren seg, og forhindret en enkel vei til opptrapping av privilegier. Miljøet var et overlayfs-filsystem, noe som ga dem et glimt av beholderens konstruksjon.
Teamets utforskning avslørte at de fleste av tjenestens tilpassede skript bodde i/App-katalogen. Ved å analysere disse filene identifiserte de containerens entrypoint-skript, entrypoint.sh, som var ansvarlig for å starte kjernetjenestene. Dette skriptet var nøkkelen til å finne en svakhet.
Innenfor denne oppstartsprosessen ble et hjelperskript som heter KeepaliveJupytersvc.sh lansert med rotrettigheter. Hensikten var å kjøre i en uendelig sløyfe, og sikre at Jupyter-tjenesten alltid var aktiv. For å gjøre dette, utførte den periodisk PGREP-kommandoen for å sjekke prosessen.
Her fant forskerne den kritiske feilen. Skriptet utførte PGREP uten å spesifisere den fulle systemveien (f.eks./Usr/bin/pgrep). Dette betydde at systemet ville søke gjennom en liste over kataloger som er definert i $ bane-miljøvariabelen for å finne den kjørbare.
avgjørende, rotbrukerens $ banevariable listede/app/miniconda/bin før standard systemkatalogene. Øyesikkerhetsteamet oppdaget at deres sandkassede ‘Ubuntu’ bruker hadde skrevet tillatelser til denne spesifikke katalogen, et tilsyn som skapte en gylden mulighet for et bane-kapringsangrep.
Med alle brikkene på plass var det siste trinnet enkelt. Forskerne laget et ondsinnet Python-manus og kalte det PGREP. De lastet den opp til Writable/App/Miniconda/Bin-katalogen. I løpet av sekunder kjørte rotnivået `KeepaliveJupytersvc.sh`-skriptet sin sjekk, fant deres ondsinnede fil først og utførte den med full rotrettigheter, og ga dem full kontroll over beholderen.
April 18, Microsofts kontroversielle svar: en”moderat”sårbarhet. Prosessen kulminerte over tre måneder senere, den 25. juli, da Microsoft Security Response Center (MSRC) varslet forskerne om at problemet hadde blitt lappet og offisielt stengt saken, ifølge tidslinjen gitt av øyesikkerhet.
Imidlertid vakte oppløsningen umiddelbar kontrovers. Microsoft klassifiserte feilen-som ga fullstendig tilgang til rotnivå til Copilot Backend-som bare er av”moderat”alvorlighetsgrad. Denne klassifiseringen er viktig fordi den faller under terskelen for en økonomisk belønning; Microsofts policy forbeholder seg feilbaner for sårbarheter det anser som”viktig og kritisk.”
Den”moderate”-vurderingen har trukket kritikk fra sikkerhetssamfunnet, med mange som argumenterer for at det reduserer den potensielle effekten av et fullt systemkompromiss på et flaggskip-foretak AI-produkt. En privilegium opptrappingsfeil som resulterer i rottilgang, anses vanligvis som et sårbarhet med høy eller kritisk risiko, noe som gjør at den offisielle vurderingen fremstår som koblet fra den tekniske virkeligheten av utnyttelsen.
I stedet for en dusør href=”https://portal.msrc.microsoft.com/en-us/security-guidance/researcher-acknowledgment-online-services”Target=”_ blank”> offentlig oppført forskervesensside .
Denne generiske reaksjonen sidestiller kjernen i tvisten om alvorlighetsvurderingen. Avgjørelsen ble påpekt nok til at øyesikkerhet eksplisitt bemerket utfallet i avsløringen, og sa:”Vi mottok ikke noe, bortsett fra en erkjennelse.”Dette fremhever en betydelig kobling mellom hvordan en leverandør og uavhengige forskere oppfatter verdien og alvorlighetsgraden av et sikkerhetsfunn.
En annen sikkerhetshodepine for Redmond
Dette Copilot-sårbarhetsoverflatene på en vanskelig tid for Microsofts sikkerhetsteam. Selskapet administrerer fortsatt nedfallet fra en utbredt SharePoint null-dagers kampanje (CVE-2025-53770) som har påvirket hundrevis av organisasjoner globalt, inkludert amerikanske føderale byråer.
Den hendelsen, tilskrevet kinesiske statlige sponsede aktører, involverte også en sofistikert bypass av en tidligere patch. Det tilbakevendende temaet for sårbarheter med høy innvirkning vekker bekymring for sikkerhetsutviklingslivssyklusen for Microsofts mest kritiske bedriftsprodukter.
Historien er kanskje ikke over. Øyesikkerhet har drillet at forskerne også fikk tilgang til Microsofts interne”ansvarlige AI-operasjon”-kontrollpanel, et system som ble brukt til å administrere Copilot og andre interne tjenester.
Firmaet planlegger å avsløre de fulle detaljene i både rotutnyttelsen og kontrollpanelet brudd på den kommende