Cybersecurity Firm Eye Security har avslöjat en kritisk sårbarhet i Microsoft Copilot Enterprise som gjorde det möjligt för forskarna att få kontroll på rotnivå och utföra godtycklig kod inom AI-assistentens backend. Det holländska säkerhetsföretaget upptäckte bristen redan i april 2025 men släppte detaljer om händelsen nu.
Sårbarheten härstammade från en väg som kapar svaghet i plattformens Jupyter Notebook. Microsoft lappade tyst bristen efter att ha meddelats men klassificerade kontroversiellt den som bara”måttlig”svårighetsgrad och tilldelade inte en buglounty.
Eye Security publicerade sina resultat på 25 juli, vilket väckte nya frågor om säkerhetsställningen för Microsofts snabbt utplacerade AI-tjänster och dess sårbarhetsinvisningsprocess. Offentliggörandet kommer när Redmond kämpar med nedfallet från en massiv SharePoint Zero-Day-attack.
Detaljerad i en teknisk skrivning med ögonsäkerhet , visar en klassisk privilegi eskalationsteknik. Forskare började med att undersöka den levande Python-sandlådan som Microsoft tyst läggs till i Copilot Enterprise i april 2025, och fann att de kunde köra systemkommandon direkt med Jupyter Notebook-syntax.
Denna initiala åtkomst placerade dem i en behållare som en användare som heter’Ubuntu’i en miniconda-miljö. Medan denna användare var en del av”sudo”-gruppen, saknades sudo-binären själv, vilket förhindrade en enkel väg till privilegiering. Miljön var ett overlayfs-filsystem som gav dem en inblick i behållarens konstruktion.
Teamets utforskning avslöjade att de flesta av tjänstens anpassade skript var bosatta i/app-katalogen. Genom att analysera dessa filer identifierade de behållarens ingångsskript, entrypoint.sh, som var ansvarig för att starta kärntjänsterna. Detta skript var nyckeln till att hitta en svaghet.
Inom denna startprocess lanserades ett hjälpskript med namnet KeepAliveJupYterSvc.sh med rotprivilegier. Syftet var att springa i en oändlig slinga, vilket säkerställer att Jupyter-tjänsten alltid var aktiv. För att göra detta utförde det regelbundet PGREP-kommandot för att kontrollera processen.
Här fann forskarna den kritiska bristen. Skriptet körde PREP utan att specificera sin fulla systemväg (t.ex./usr/bin/pgrep). Detta innebar att systemet skulle söka genom en lista med kataloger som definieras i $-vägsmiljövariabeln för att hitta den körbara.
avgörande, rotanvändarens $-vägsvariabel listad/app/miniconda/bin före standardsystemkatalogerna. Eye Security-teamet upptäckte att deras Sandboxed’Ubuntu’-användare hade skrivbehörigheter till denna specifika katalog, en övervakning som skapade en gyllene möjlighet för en väg attackera attack.
Med alla bitar på plats var det sista steget enkelt. Forskarna skapade ett skadligt Python-skript och kallade det pgrep. De laddade upp den i katalogen för skrivbar/app/miniconda/bin. Within seconds, the root-level `keepAliveJupyterSvc.sh` script ran its check, found their malicious file first, and executed it with full root privileges, granting them complete control over the container.
Microsoft’s Controversial Response: A ‘Moderate’ Flaw?
Following Eye Security’s responsible disclosure on April 18, Microsoft began investigating the sårbarhet. Processen kulminerade över tre månader senare, den 25 juli, då Microsoft Security Response Center (MSRC) meddelade forskarna att frågan hade lappats och officiellt stängde fallet, enligt tidslinjen som tillhandahålls av ögonsäkerhet.
Men upplösningen utlöste omedelbar kontrovers. Microsoft klassificerade bristen-som beviljade fullständig åtkomst på rotnivån till copilot-backend-som endast är av”måttlig”svårighetsgrad. Denna klassificering är betydande eftersom den faller under tröskeln för en ekonomisk belöning; Microsofts policy reserverar felbundna för sårbarheter som det anser”viktigt och kritiskt.”
Det”måttliga”betyget har dragit kritik från säkerhetssamhället, med många som hävdar att det minskar den potentiella effekten av ett fullständigt systemkompromiss på ett flaggskeppsföretag AI-produkt. En privilegi eskaleringsfel som resulterar i rotåtkomst betraktas vanligtvis som en hög eller kritisk risk sårbarhet, vilket gör att den officiella betyget verkar kopplas från den tekniska verkligheten i exploaten.
istället för en bounty, Microsofts enda formella erkännande var att lägga till ögonsäkerhet till dess Offentligt listade forskare bekräftelser sida .
Den här generiska reaktionen går ut som kärnan i tvisten om svårighetsgraden. Beslutet påpekades tillräckligt för att ögonsäkerheten uttryckligen noterade resultatet i dess avslöjande och konstaterade:”Vi fick inte något, förutom ett erkännande.”Detta belyser en betydande koppling mellan hur en leverantör och oberoende forskare uppfattar värdet och svårighetsgraden av ett säkerhetsuppträdande.
En annan säkerhetsteam för Redmond
Denna copilot-sårbarhet ytor vid en svår tid för Microsofts säkerhetsteam. Företaget hanterar fortfarande nedfallet från en utbredd SharePoint Zero-Day-kampanj (CVE-2025-53770) som har påverkat hundratals organisationer globalt, inklusive amerikanska federala byråer.
den incidenten, tillskrivet kinesiska statssponserade aktörer, också involverat en sofistikerad avpass av en tidigare patch. Det återkommande temat för sårbarheter med hög påverkan väcker oro över säkerhetsutvecklingens livscykel för Microsofts mest kritiska företagsprodukter.
Historien kanske inte är över. Ögonsäkerhet har retat att dess forskare också fick tillgång till Microsofts interna kontrollpanel för”ansvarsfull AI-operationer”, ett system som används för att administrera copilot och andra interna tjänster.
Företaget planerar att avslöja de fullständiga detaljerna för både rotutnyttjandet och kontrollpanelen bryter mot den kommande >> Blackhat USA 20255555555555550,TGA
