Investigadores de ciberseguridad han descubierto dos fallas de seguridad en el servicio de bots de salud Azure de Microsoft que, de ser explotadas, podr\u00edan permitir que un actor malicioso logre movimiento lateral dentro de los entornos de los clientes y acceda a datos confidenciales de los pacientes.<\/p>\n
Los problemas cr\u00edticos, ahora solucionados por Microsoft, podr\u00edan haber permitido el acceso a recursos entre inquilinos dentro del servicio, dijo Tenable en un nuevo comunicado. informe<\/a> compartido con The Hacker News.<\/p>\n El servicio de bots de salud con inteligencia artificial de Azure es un Plataforma en la nube<\/a> que permite a los desarrolladores de organizaciones de atenci\u00f3n m\u00e9dica crear e implementar asistentes de salud virtuales impulsados \u200b\u200bpor IA y crear copilotos para administrar cargas de trabajo administrativas e interactuar con sus pacientes.<\/p>\n Esto incluye bots creados por proveedores de servicios de seguros para permitir a los clientes consultar el estado de un reclamo y hacer preguntas sobre beneficios y servicios, as\u00ed como bots administrados por entidades de atenci\u00f3n m\u00e9dica para ayudar a los pacientes a encontrar la atenci\u00f3n adecuada o buscar m\u00e9dicos cercanos.<\/p>\n La investigaci\u00f3n de Tenable se centra espec\u00edficamente en un aspecto del servicio de bots de salud de IA de Azure llamado Conexiones de datos<\/a>que, como su nombre lo indica, ofrece un mecanismo para integrar datos de fuentes externas, ya sean terceros o los propios puntos finales de API de los proveedores de servicios.<\/p>\n Si bien la funci\u00f3n tiene protecciones integradas para evitar el acceso no autorizado a las API internas, investigaciones posteriores descubrieron que estas protecciones podr\u00edan eludirse emitiendo respuestas de redireccionamiento (es decir, c\u00f3digos de estado 301 o 302) al configurar una conexi\u00f3n de datos utilizando un host externo bajo el control de uno.<\/p>\n Al configurar el host para que responda a las solicitudes con una respuesta de redireccionamiento 301 destinada al servicio de metadatos de Azure (IMDS<\/a>), Tenable dijo que era posible obtener una respuesta de metadatos v\u00e1lida y luego obtener un token de acceso para la administraci\u00f3n de Azure.[.]con.<\/p>\n El token podr\u00eda luego usarse para enumerar las suscripciones a las que proporciona acceso mediante una llamada a un punto final de Microsoft que, a su vez, devuelve un ID de suscripci\u00f3n interno, que en \u00faltima instancia podr\u00eda aprovecharse para enumerar los recursos accesibles llamando a otra API.<\/p>\n Por otra parte, tambi\u00e9n se descubri\u00f3 que Otro punto final<\/a> Relacionado con la integraci\u00f3n de sistemas que respaldan los recursos de interoperabilidad r\u00e1pida de atenci\u00f3n m\u00e9dica (FHIRI<\/a>) El formato de intercambio de datos tambi\u00e9n era susceptible al mismo ataque.<\/p>\n Tenable afirm\u00f3 que inform\u00f3 sus hallazgos a Microsoft en junio y julio de 2024, tras lo cual el fabricante de Windows comenz\u00f3 a implementar correcciones en todas las regiones. No hay evidencia de que el problema haya sido explotado en la pr\u00e1ctica. <\/p>\n “Las vulnerabilidades plantean inquietudes sobre c\u00f3mo se pueden explotar los chatbots para revelar informaci\u00f3n confidencial”, afirm\u00f3 Tenable en un comunicado. “En particular, las vulnerabilidades implicaban un fallo en la arquitectura subyacente del servicio de chatbot, lo que destaca la importancia de la seguridad tradicional de las aplicaciones web y la nube en la era de los chatbots de IA”.<\/p>\n La revelaci\u00f3n se produce d\u00edas despu\u00e9s de que Semperis detallara una t\u00e9cnica de ataque llamada No autorizado<\/a> que permite la escalada de privilegios mediante Microsoft Entrar ID<\/a> (anteriormente Azure Active Directory), incluida la capacidad de agregar y eliminar usuarios de roles privilegiados. Microsoft ha solucionado el problema de seguridad.<\/p>\n “Un actor de amenazas podr\u00eda haber utilizado dicho acceso para realizar una elevaci\u00f3n de privilegios al Administrador global e instalar otros medios de persistencia en un inquilino”, dijo el investigador de seguridad Eric Woodruff. dicho<\/a>“Un atacante tambi\u00e9n podr\u00eda usar este acceso para realizar un movimiento lateral hacia cualquier sistema de Microsoft 365 o Azure, as\u00ed como hacia cualquier aplicaci\u00f3n SaaS conectada a Entra ID”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Investigadores-descubren-vulnerabilidades-en-el-servicio-de-bots-de-Azure.png\")
<\/a><\/center><\/div>\n<\/a><\/center><\/section>\n