Эксперты Tenable обнаружили уязвимости в службе Azure Health Bot Service, которые могли использоваться для получения доступа к конфиденциальным данным пользователей.

Azure Health Bot Service — это облачная платформа, которую медицинские организации могут использовать для создания и развертывания виртуальных медицинских ИИ-помощников для управления административной нагрузкой и взаимодействия с пациентами. В зависимости от области применения, для работы некоторых из этих чат-ботов может потребоваться доступ к конфиденциальной информации о пациентах.

Исследователи Tenable рассказали, что обнаружили функциональность подключения к данным (Data Connection), которая позволяет ботам взаимодействовать с внешними источниками данных. Эта функция позволяет бэкенду сервиса осуществлять сторонние API-запросы.

Хотя эта функция имеет встроенные средства защиты от несанкционированного доступа к внутренним API, специалистами удалось обойти защитные механизмы Azure Health Bot Service.

В частности, они обнаружили SSRF-уязвимость, которая позволяла злоумышленникам повысить привилегии и получить доступ к кросс-тенантным ресурсам. То есть атакующий мог получить доступ к конфиденциальным данным пациентов, а также получить возможности для управления и перемещения внутри клиентской среды Azure.

«Уязвимости были связаны с проблемами в базовой архитектуре сервиса для ИИ чат-ботов, но не с самими ИИ-моделями», — подчеркнули в Tenable.

Компания Microsoft исправила все обнаруженные специалистами проблемы еще в июле 2024 года, после того как исследователи уведомили компанию о своих выводах.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии