微軟的AI醫(yī)療聊天機(jī)器人服務(wù)中存在嚴(yán)重的安全漏洞。漏洞允許未經(jīng)授權(quán)的訪問者獲取用戶和客戶的個(gè)人信息。

漏洞中其中一個(gè)被評(píng)定為“嚴(yán)重”等級(jí)，攻擊者可能利用漏洞在Azure Health Bot服務(wù)的網(wǎng)絡(luò)環(huán)境中進(jìn)行橫向移動(dòng)。

目前，微軟已對(duì)發(fā)現(xiàn)的漏洞采取了緩解措施，無需客戶再做行動(dòng)。

AI聊天機(jī)器人被利用

Azure Health Bot Service是一個(gè)云平臺(tái)，醫(yī)療保健組織能夠構(gòu)建和部署AI驅(qū)動(dòng)的虛擬助手，以降低成本并提高效率。

在檢查該服務(wù)的安全問題時(shí)，Tenable研究人員研究了“數(shù)據(jù)連接”這一功能上，機(jī)器人能夠從外部數(shù)據(jù)源獲取信息，這可能包括患者醫(yī)療信息等敏感數(shù)據(jù)。

這個(gè)數(shù)據(jù)連接功能是為了使得服務(wù)的后端系統(tǒng)能夠向第三方應(yīng)用程序API接口發(fā)送請(qǐng)求。

在測(cè)試這些連接以查看它們是否可以與服務(wù)內(nèi)部的端點(diǎn)交互時(shí)，研究人員發(fā)現(xiàn)，發(fā)出重定向響應(yīng)使他們能夠繞過這些端點(diǎn)上的一些安全措施，例如過濾機(jī)制。

在此過程中發(fā)現(xiàn)了兩個(gè)權(quán)限提升漏洞。

漏洞一：嚴(yán)重權(quán)限提升漏洞

Tenable研究人員詳述的第一個(gè)漏洞是通過服務(wù)器端請(qǐng)求偽造的方式被利用，通用漏洞披露CVE編號(hào)為CVE-2024-38109。

隨后，研究人員配置了這個(gè)外部主機(jī)，使其對(duì)請(qǐng)求以301重定向響應(yīng)，目標(biāo)是IMDS（內(nèi)部元數(shù)據(jù)服務(wù)）。

在接收到有效的元數(shù)據(jù)響應(yīng)后，研究人員能夠獲得一個(gè)訪問令牌，這個(gè)令牌為他們提供了一個(gè)微軟內(nèi)部的訂閱ID。最后發(fā)現(xiàn)訪問的資源中包含了數(shù)百個(gè)屬于其他客戶的資源。

這些發(fā)現(xiàn)在2024年6月17日?qǐng)?bào)告給了微軟，并且在一周內(nèi)，修復(fù)措施被引入到受影響的環(huán)境中。到7月2日，修復(fù)措施已經(jīng)在全球范圍內(nèi)推出。

修復(fù)這個(gè)漏洞的方法是完全拒絕數(shù)據(jù)連接端點(diǎn)的重定向狀態(tài)碼，這消除了這個(gè)攻擊向量。

微軟將這個(gè)漏洞評(píng)為嚴(yán)重等級(jí)，確認(rèn)它將提供跨租戶訪問。它已被包含在微軟2024年8月的Patch Tuesday出版物中。

沒有證據(jù)表明這個(gè)問題被惡意行為者利用過。

漏洞二：重要權(quán)限提升漏洞

在Microsoft修復(fù)第一個(gè)漏洞后，Tenable研究人員在Azure Health Bot Service的數(shù)據(jù)連接功能中發(fā)現(xiàn)了另一個(gè)權(quán)限升級(jí)漏洞。

研究人員使用類似的服務(wù)器端請(qǐng)求偽造技術(shù)來利用FHIR端點(diǎn)向量中包含的漏洞，該向量規(guī)定了訪問電子病歷資源和對(duì)資源執(zhí)行操作的格式。

這個(gè)漏洞比IMDS漏洞的嚴(yán)重程度要低，因?yàn)樗惶峁┛缱鈶粼L問權(quán)限。

研究人員在7月9日向微軟報(bào)告了這個(gè)漏洞，微軟在7月12日提供了修復(fù)措施。這個(gè)漏洞被評(píng)定為重要級(jí)別。

目前沒有證據(jù)表明這個(gè)問題被惡意行為者所利用。

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明