Geekzillo, la Inteligencia Artificial ha marcado un antes y un después en diversos campos e industrias, incluidas el sector salud y tecnología relacionada a esto. Ahora, Tenable Research descubrió una falla de alta gravedad en el servicio Azure Health Bot, la plataforma de asistentes virtuales de salud impulsados por IA de Microsoft. Conoce los detalles al respecto.
Tenable, la empresa de gestión de exposición, ha revelado que su equipo de investigación, Tenable Research, ha descubierto una falla de alta gravedad en el servicio Azure Health Bot de Microsoft. Si se explotara, un actor malicioso podría haber obtenido capacidades de gestión para cientos de recursos pertenecientes a clientes de Azure.
El servicio Azure Health Bot es una plataforma en la nube que permite a los profesionales de la salud desplegar asistentes virtuales de salud impulsados por IA. Básicamente, el servicio permite a los proveedores de salud crear y desplegar chatbots orientados a los pacientes para manejar flujos de trabajo administrativos dentro de sus entornos. Para ello, estos chatbots tendrán acceso a cierta información sensible de los pacientes, aunque la información disponible puede variar según la configuración de cada bot.
¿Cuál es la falla?
La falla es múltiples problemas de escalamiento de privilegios en el servicio Azure Health Bot a través de una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF). Estos problemas permitieron a los investigadores acceder al servicio interno de metadatos (IMDS) y, posteriormente, obtener tokens de acceso que permitían la gestión de recursos entre diferentes inquilinos. Tenable Research informó inmediatamente a Microsoft sobre los problemas al darse cuenta de la naturaleza sensible de los datos a los que se podía acceder.
“Con base en el nivel de acceso otorgado, es probable que haya sido posible el movimiento lateral hacia otros recursos en los entornos de los clientes”, explica Jimi Sebree, ingeniero de investigación senior de Tenable. “Las vulnerabilidades involucraban un fallo en la arquitectura subyacente del servicio de chatbot, en lugar de los modelos de IA en sí mismos. Esto resalta la importancia continua de los mecanismos tradicionales de seguridad de aplicaciones web y en la nube en esta nueva era de chatbots impulsados por IA”.
Microsoft ha confirmado que se han aplicado mitigaciones para estos problemas en todos los servicios y regiones afectadas. No se requiere ninguna acción por parte de los clientes.
Más información, incluyendo los hallazgos técnicos del equipo y una prueba de concepto, ha sido publicada en el blog de Tenable y en el aviso técnico.
Sobre el investigador Jimi Sebree
Desde que se unió en 2014, Jimi ha asumido múltiples roles dentro de Tenable. Ha estado involucrado en la mayoría de los aspectos del ciclo de vida de los plugins en algún momento y ha sido responsable de la creación y el mantenimiento de varios marcos de trabajo fundamentales para los plugins. Antes de unirse al equipo de investigación de Zero Day, fue responsable del diseño, creación y lanzamiento de una iniciativa interna de automatización que sirve como fuente de datos principal para productos y flujos de trabajo dentro de Tenable.
También te puede interesar: Dell Technologies ofrece IA con APEX File Storage for Microsoft Azure
Y tú, geekzillo, ¿qué opinas de que Tenable Research descubrió una falla de alta gravedad en el servicio Azure Health Bot? No olvides que puedes compartirnos tus opiniones en los comentarios.
Por último, puedes seguir la pista de esta y más noticias en T3 Latam, TechRadar México. Además de nuestros podcasts con Oye 89.7: Top Techy Top Gaming en Spotify.