Команда дослідників з компанії Tenable виявила критичні уразливості в хмарній платформі Azure Health Bot Service від Microsoft. Ці вразливості потенційно могли бути використані зловмисниками для несанкціонованого доступу до конфіденційної медичної інформації пацієнтів. Дане відкриття підкреслює важливість постійного моніторингу та вдосконалення систем безпеки в сфері охорони здоров’я.
Що таке Azure Health Bot Service і чому це важливо?
Azure Health Bot Service – це хмарна платформа, розроблена Microsoft для створення та розгортання віртуальних медичних ІІ-асистентів. Ці чат-боти допомагають медичним організаціям автоматизувати адміністративні процеси та покращити взаємодію з пацієнтами. Враховуючи чутливість медичної інформації, з якою працюють ці боти, забезпечення їх безпеки є критично важливим завданням.
Виявлені уразливості та їх потенційні наслідки
Експерти Tenable виявили декілька серйозних проблем безпеки в архітектурі Azure Health Bot Service:
1. Вразливість в функції підключення до даних
Дослідники виявили, що функція Data Connection, яка дозволяє ботам взаємодіяти із зовнішніми джерелами даних, мала недоліки в реалізації. Ця вразливість потенційно дозволяла обходити вбудовані механізми захисту від несанкціонованого доступу до внутрішніх API.
2. SSRF-уразливість з можливістю підвищення привілеїв
Найбільш критичною знахідкою стала SSRF-уразливість (Server-Side Request Forgery), яка дозволяла зловмисникам підвищувати свої привілеї та отримувати доступ до крос-тенантних ресурсів. Це означає, що атакуючий потенційно міг:
- Отримати несанкціонований доступ до конфіденційних даних пацієнтів
- Здійснювати несанкціоновані дії в клієнтському середовищі Azure
- Переміщуватися між різними тенантами, порушуючи ізоляцію даних
Реакція Microsoft та усунення вразливостей
Після отримання повідомлення від дослідників Tenable, Microsoft оперативно відреагувала на виявлені проблеми. Всі знайдені уразливості були успішно усунені в липні 2023 року. Важливо відзначити, що проблеми були пов’язані з базовою архітектурою сервісу, а не з самими ІІ-моделями чат-ботів.
Цей інцидент підкреслює важливість регулярних аудитів безпеки та швидкого реагування на виявлені уразливості, особливо коли мова йде про системи, що обробляють чутливі медичні дані. Організаціям, які використовують Azure Health Bot Service або подібні платформи, рекомендується регулярно оновлювати свої системи та впроваджувати додаткові рівні захисту для забезпечення конфіденційності даних пацієнтів.