Microsoft hat eine neue Schwachstelle veröffentlicht und Azure Health Bot gepatcht, eine verwaltete künstliche Intelligenz-fähige Cloud-Plattform, die von Gesundheitsorganisationen genutzt wird, um virtuelle Gesundheitsassistenten zu entwickeln. Forscher erklärten, wie sie Zugriff erlangen konnten und welche schnelle Lösung erforderlich war.
Die HIPAA-konforme Health Bot-Plattform kombiniert medizinische Daten mit natürlichen Sprachfähigkeiten, um klinische Terminologie zu verstehen und für den klinischen Einsatz zu nutzen. Gesundheitsorganisationen können den Health Bot nutzen, um maßgeschneiderte virtuelle Assistenten für das klinische Personal zu erstellen. Microsoft wies am 13. August die Privilegienerhöhungsschwachstelle, die mit einer unzureichenden Linkauflösung vor dem Dateizugriff zusammenhängt, als CVE-2024-38098 zu. In dem Bericht erklärte Microsoft, dass die Schwachstelle nicht offengelegt oder ausgenutzt wurde und dies unwahrscheinlich sei.
Forscher von Tenable erlangten am 17. Juni einen Zugriffstoken für management.azure.com, der es ihnen ermöglichte, die Abonnements aufzulisten, auf die sie über die Anwendungsprogrammierschnittstelle Zugriff hatten. Die Forscher kontaktierten Microsoft, und die Fixes wurden bis zum 2. Juli in den betroffenen Umgebungen eingeführt, indem Weiterleitungsstatuscodes für Datenverbindungsendpunkte abgelehnt wurden. Tenable-Forscher entdeckten mehrere Privilegierungsprobleme in Azure Health Bot durch eine serverseitige Anfragefälschung.
Microsoft hatte auch sechs von neun Zero-Day-Schwachstellen ausgenutzt, so der Bericht vom August. Das US-Gesundheitsministerium erfordert FHIR-APIs in allen zertifizierten elektronischen Gesundheitsakten-Systemen, die von Azure Health Bot abgerufen werden können, gemäß den Vorschriften seines Gesundheits-IT-Zertifizierungsprogramms. Die FHIR-Standard wird weithin als Teil der Zukunft der Gesundheitsinteroperabilität angesehen.