Kritische Schwachstelle in Microsofts Azure Health Bot Service

Durch Ausnutzung der Schwachstelle hätte ein Bedrohungsakteur auf Hunderte von Ressourcen von Azure-Kunden zugreifen können. Tenable Research meldete die Schwachstellen umgehend an Microsoft, sobald deutlich wurde, dass hochsensible Daten betroffen waren.

Der Azure Health Bot Service ist eine Cloud-Plattform, die es Beschäftigten im Gesundheitswesen ermöglicht, KI-gestützte virtuelle Assistenten einzusetzen. Im Wesentlichen ermöglicht es der Service Gesundheitsdienstleistern, ihren Patienten Chatbots anzubieten, die in begrenztem Umfang administrative Workflows übernehmen. Zu diesem Zweck haben diese Chatbots Zugriff auf sensible Patientendaten, wobei die verfügbaren Informationen je nach Konfiguration des jeweiligen Bots variieren können.

Fehler in Architektur des Chatbot-Service

„Angesichts des Zugriffslevels wäre es wahrscheinlich möglich gewesen, sich lateral zu anderen Ressourcen in Kundenumgebungen zu bewegen“, sagt Jimi Sebree von Tenable. „Die Schwachstellen waren eher auf einen Fehler in der zugrundeliegenden Architektur des Chatbot-Service zurückzuführen als auf die KI-Modelle selbst. Dies unterstreicht die anhaltende Bedeutung klassischer Web-App- und Cloud-Security im Zeitalter KI-gestützter Chatbots.“

Microsoft hat bestätigt, dass Behebungsmaßnahmen für alle betroffenen Services und Regionen ergriffen wurden. Seitens der Kunden sind keine Maßnahmen erforderlich.

Roger Homrich

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

3 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

4 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

4 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

4 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

4 Tagen ago