Se han descubierto vulnerabilidades graves en el servicio de chatbot de atención médica con inteligencia artificial de Microsoft, que permite el acceso a la información del usuario y del cliente, según los investigadores de Tenable. El nivel de acceso otorgado por las vulnerabilidades al Servicio de Bot de Salud de Azure, una de las cuales está clasificada como crítica, significa que es probable que fuera posible el movimiento lateral a otros recursos. Microsoft ha aplicado mitigaciones para las vulnerabilidades descubiertas, sin necesidad de ninguna acción del cliente. Microsoft AI Chatbot Exploited El Servicio de Bot de Salud de Azure es una plataforma en la nube que permite a las organizaciones de atención médica crear e implementar asistentes virtuales impulsados ​​​​por IA para reducir costos y mejorar la eficiencia. Al analizar el servicio en busca de problemas de seguridad, los investigadores de Tenable se centraron en una característica llamada ‘Conexiones de datos’, que permite a los bots interactuar con fuentes de datos externas para recuperar información de otros servicios que el proveedor pueda estar usando, como un portal para información del paciente. Esta característica de conexión de datos está diseñada para permitir que el backend del servicio realice solicitudes a API de terceros. Mientras probaban estas conexiones para ver si podían interactuar con los puntos finales internos del servicio, los investigadores descubrieron que emitir respuestas de redireccionamiento les permitía eludir las mitigaciones, como el filtrado, en estos puntos finales. Se descubrieron dos vulnerabilidades de escalada de privilegios como parte de este proceso. Vulnerabilidad crítica de escalada de privilegios La primera vulnerabilidad detallada por Tenable fue un problema de escalada de privilegios explotado mediante una falsificación de solicitud del lado del servidor, a la que se le asignó un número CVE CVE-2024-38109. Los investigadores configuraron una conexión de datos dentro del editor de escenarios del Servicio de metadatos internos (IMDS) de Azure para especificar un host externo bajo su control. Luego, los investigadores configuraron este host externo para responder a las solicitudes con una respuesta de redireccionamiento 301 destinada a IMDS. Después de recibir una respuesta de metadatos válida, los investigadores pudieron obtener un token de acceso para management.azure.com. Este token les permitió enumerar las suscripciones a las que tenían acceso mediante una llamada a https://management.azure.com/subscriptions?api-version=2020-01-01, que les proporcionó un ID de suscripción interno de Microsoft. Los investigadores de Tenable pudieron luego enumerar los recursos a los que tenían acceso a través de https://management.azure.com/subscriptions//resources?api-version=2020-10-01, que contenía cientos de recursos pertenecientes a otros clientes. Los hallazgos se informaron a Microsoft el 17 de junio de 2024 y, en una semana, se introdujeron correcciones en los entornos afectados. Para el 2 de julio, se implementaron correcciones en todas las regiones. La corrección de esta falla implicó rechazar por completo los códigos de estado de redireccionamiento para los puntos finales de conexión de datos, lo que eliminó este vector de ataque. Microsoft ha asignado a esta vulnerabilidad una clasificación de gravedad de Crítica, lo que confirma que proporcionaría acceso entre inquilinos. Se ha incluido en la publicación Patch Tuesday de agosto de 2024 de Microsoft. No hay evidencia de que un actor malintencionado haya explotado el problema. Vulnerabilidad importante de escalada de privilegios Después de que Microsoft corrigiera la primera vulnerabilidad, los investigadores de Tenable encontraron otra vulnerabilidad de escalada de privilegios contenida en la característica Conexiones de datos del Servicio Bot de Azure Health. Los investigadores utilizaron una técnica similar de falsificación de solicitudes del lado del servidor para explotar la falla, contenida en el vector de punto final FHIR, que prescribe un formato para acceder a los recursos de registros médicos electrónicos y acciones en los recursos. Esta vulnerabilidad fue menos grave que la falla IMDS, ya que no proporcionaba acceso entre inquilinos. La falla se informó a Microsoft el 9 de julio y las correcciones estuvieron disponibles el 12 de julio. La vulnerabilidad ha sido calificada como importante. No hay evidencia de que el problema haya sido explotado por actores maliciosos. Priorizar la seguridad en los modelos de IA Las fallas de escalada de privilegios se relacionan con la arquitectura subyacente del servicio de chatbot de IA en lugar de los modelos de IA en sí, señalaron los investigadores. Tenable dijo que los descubrimientos resaltan la importancia continua de las aplicaciones web tradicionales y los mecanismos de seguridad en la nube para los servicios impulsados ​​​​por IA. Lea ahora: El 70% de las empresas priorizan la innovación sobre la seguridad en los proyectos de IA generativa En febrero de 2024, Mozilla descubrió que los chatbots de «relaciones» impulsados ​​​​por IA ignoran deliberadamente las mejores prácticas de privacidad y seguridad.