Onderzoekers ontdekken kwetsbaarheden in AI-aangedreven Azure Health Bot Service

Cybersecurityonderzoekers hebben twee beveiligingslekken ontdekt in de Azure Health Bot Service van Microsoft. Als deze worden uitgebuit, kan een kwaadwillende gebruiker zich binnen de omgeving van klanten verplaatsen en toegang krijgen tot gevoelige patiëntgegevens.

De kritieke problemen, die nu door Microsoft zijn opgelost, zouden toegang tot cross-tenant bronnen binnen de service mogelijk hebben gemaakt, aldus Tenable in een nieuw rapport dat is gedeeld met The Hacker News.

Azure AI Health Bot Service is een cloudplatform waarmee ontwikkelaars in zorginstellingen virtuele, op AI gebaseerde gezondheidsassistenten kunnen bouwen en implementeren. Ook kunnen ze copiloten creëren om administratieve taken te beheren en met hun patiënten te communiceren.

Voorbeelden hiervan zijn bots die zijn gemaakt door verzekeringsdienstverleners, waarmee klanten de status van een claim kunnen opzoeken en vragen kunnen stellen over vergoedingen en diensten. Ook bots die worden beheerd door zorginstellingen, helpen patiënten bij het vinden van de juiste zorg of het opzoeken van artsen in de buurt.

Het onderzoek van Tenable richt zich specifiek op één aspect van de Azure AI Health Bot Service, namelijk Data Connections. Zoals de naam al aangeeft, biedt dit een mechanisme voor het integreren van gegevens uit externe bronnen, of dit nu externe partijen zijn of de eigen API-eindpunten van serviceproviders.

Hoewel de functie ingebouwde beveiligingen heeft om ongeautoriseerde toegang tot interne API’s te voorkomen, bleek uit nader onderzoek dat deze beveiligingen omzeild konden worden door omleidingsreacties (d.w.z. statuscodes 301 of 302) te versturen bij het configureren van een gegevensverbinding via een externe host die onder eigen beheer staat.

Door de host zo in te stellen dat deze op aanvragen reageert met een 301-omleidingsreactie die bestemd is voor de metadataservice (IMDS) van Azure, kon volgens Tenable een geldige metadatareactie worden verkregen en vervolgens een toegangstoken voor management.azure(.)com worden bemachtigd.

Het token kan vervolgens worden gebruikt om de abonnementen weer te geven waartoe het toegang biedt, door middel van een aanroep naar een Microsoft-eindpunt dat op zijn beurt een interne abonnements-ID retourneert. Deze ID kan uiteindelijk worden gebruikt om de toegankelijke bronnen weer te geven door een andere API aan te roepen.

Daarnaast werd ontdekt dat een ander eindpunt, gerelateerd aan de integratie van systemen die het Fast Healthcare Interoperability Resources (FHIR)-gegevensuitwisselingsformaat ondersteunen, eveneens vatbaar was voor dezelfde aanval.

Tenable zei dat het zijn bevindingen in juni en juli 2024 aan Microsoft rapporteerde, waarna de Windows-maker begon met het uitrollen van oplossingen naar alle regio’s. Er is geen bewijs dat het probleem in het wild werd uitgebuit.

“De kwetsbaarheden roepen zorgen op over hoe chatbots kunnen worden misbruikt om gevoelige informatie te onthullen,” zei Tenable in een verklaring. “De kwetsbaarheden betroffen met name een fout in de onderliggende architectuur van de chatbotservice, wat het belang van traditionele webapp- en cloudbeveiliging in het tijdperk van AI-chatbots benadrukt.”

De onthulling komt dagen nadat Semperis een aanvalstechniek genaamd UnOAuthorized beschreef die privilege-escalatie mogelijk maakt met behulp van Microsoft Entra ID (voorheen Azure Active Directory), inclusief de mogelijkheid om gebruikers toe te voegen aan en te verwijderen uit geprivilegieerde rollen. Microsoft heeft het beveiligingslek inmiddels gedicht.

“Een bedreigingsactor zou dergelijke toegang kunnen hebben gebruikt om privilege elevation uit te voeren naar Global Administrator en verdere persistentiemiddelen te installeren in een tenant”, aldus beveiligingsonderzoeker Eric Woodruff. “Een aanvaller zou deze toegang ook kunnen gebruiken om laterale verplaatsing uit te voeren naar elk systeem in Microsoft 365 of Azure, evenals elke SaaS-applicatie die is verbonden met Entra ID.”

Thijs Van der Does