דיגיטל וטק
מיקורוספט נחשפת: אלה הפרצות המסוכנות שהתגלו בצ'אטבוט שלה
חוקרי Tenable (טנאבל) גילו חולשה בצ'אטבוט הבינה המלאכותית לשירותי בריאות של מיקרוסופט, באמצעות בקשות מזויפות בצד-שרת (server-side request forgery – SSRF), ובכך קיבלו גישה ליכולות הניהול למאות נכסים ומשאבים של לקוחות Azure
חוקרי Tenable (טנאבל) גילו חולשה בצ'אטבוט הבינה המלאכותית לשירותי בריאות של מיקרוסופט. החוקרים גילו חולשות קריטיות בשירות באמצעות בקשות מזויפות בצד-שרת (server-side request forgery – SSRF), ובכך קיבלו גישה ליכולות הניהול למאות נכסים ומשאבים של לקוחות Azure.
שירות Azure Health Bot הוא פלטפורמת ענן שמאפשרת למפתחים בארגונים בתחום הבריאות לבנות ולפרוס עוזרי בריאות וירטואליים מבוססי בינה מלאכותית, התואמים לתקנות ולסטנדרטים. השירות עוזר לשפר תהליכים ולהפחית עלויות על ידי יצירת חוויות המיועדות לתמוך בצוותי הבריאות בניהול עומסי עבודה אדמיניסטרטיביים, וביצירת חוויות שיוצרות מעורבות פעילה מול המטופלים.
למעשה, השירות מספק פתרון שמתפקד כ"Copilot" למקצועני הבריאות, ומאפשר להם לנהל משימות רבות בצורה יעילה יותר, תוך מתן מענה לצרכים של המטופלים והפחתת העומס האדמיניסטרטיבי על הצוותים הרפואיים.
חיבורי הנתונים בשירות Azure Health Bot מיועד לאפשר לצד-שרת (Backend) של השירות לבצע בקשות ל - APIs של צד שלישי. במהלך הבדיקות של חיבורים אלה כדי לראות אם ניתן לתקשר עם נקודות קצה פנימיות לשירות, חוקרי טנאבל גילו כי רבות מהנקודות הקצה הנפוצות היו מוגנות היטב.
עם זאת, לאחר בדיקה מעמיקה יותר, נמצא כי אפשר לעקוף את המגבלות הללו ע"י הפניות (Redirect Responses). אם תוקף זדוני היה מנצל את החולשות שהתגלו, הוא היה מקבל יכולות ניהול עבור מאות משאבים ונכסים השייכים ללקוחות אחרים של Azure.
בהתבסס על רמת ההרשאות שניתנה, סביר להניח שיכולת תנועה אופקית (lateral movement) למשאבים אחרים בסביבות הלקוחות הייתה אפשרית. חוקרי טנאבל דיווחו למיקרוסופט מייד עם גילוי החולשה, וזאת תוקנה לאחר מכן כך שלא נדרשת פעולה מצד הלקוחות.
מסקנות: החולשות שהתגלו כרוכות בחולשות במבנה הבסיסי של שירות הצ'אט-בוט מבוסס הבינה המלאכותית, ולא במודלים של הבינה המלאכותית עצמם. הדבר מדגיש את החשיבות המתמשכת של מנגנוני אבטחת יישומים אינטרנטיים ומבוססי ענן מסורתיים בעידן החדש של שירותים מבוססי בינה מלאכותית.
עוד ב-
גם כאשר מדובר בשירותים מתקדמים כמו צ'אט-בוטים מבוססי AI יש לשים לב לפגיעויות במבנה התשתיתי של השירותים הללו, ולא רק למודלים של AI עצמם. אמצעים מסורתיים לאבטחת יישומים וענן עדיין חשובים מאוד כדי להגן על מערכות אלו מפני פגיעויות שמקורן בתשתיות ולא במודלים חכמים עצמם.
הכתבות החמות
תגובות לכתבה(0):
תגובתך התקבלה ותפורסם בכפוף למדיניות המערכת.
תודה.
לתגובה חדשה
תודה.
לתגובה חדשה
תגובתך לא נשלחה בשל בעיית תקשורת, אנא נסה שנית.
חזור לתגובה
חזור לתגובה
