Microsoft hat eine neue Sicherheitslücke veröffentlicht und einen Patch für Azure Health Bot erstellt. Azure Health Bot ist eine verwaltete Cloud-Plattform mit künstlicher Intelligenz, die Gesundheitsorganisationen zur Entwicklung virtueller Gesundheitsassistenten nutzen. Forscher erklärten, wie sie sich Zugang verschafften und welche schnelle Lösung erforderlich war.
WARUM ES WICHTIG IST
Die HIPAA-konforme Health Bot-Plattform kombiniert medizinische Daten mit natürlichen Sprachfähigkeiten, um die klinische Terminologie für den Einsatz in der klinischen Versorgung zu verstehen, erklärte Microsoft auf seiner Website.
Mit dem Health Bot können Gesundheitsorganisationen individuelle virtuelle Assistenten für ihr klinisches Personal erstellen.
Microsoft hat die Sicherheitslücke bei der Rechteausweitung identifiziert, die mit einer fehlerhaften Linkauflösung vor dem Dateizugriff zusammenhängt. CVE-2024-38098am 13. August. In dem Bericht sagte Microsoft, die Sicherheitslücke sei weder bekannt gegeben noch ausgenutzt worden und es sei unwahrscheinlich, dass dies jemals passieren werde.
Die Forscher von Tenable erhielten einen Zugriffstoken für management.azure.com, der es ihnen ermöglichte, die Abonnements aufzulisten, auf die sie über die Anwendungsprogrammierschnittstelle Zugriff hatten, was ihnen eine interne Abonnement-ID von Microsoft lieferte. Infosecurity Magazin sagte am Mittwoch.
Die Forscher kontaktierten Microsoft am 17. Juni und bis zum 2. Juli wurden Fixes in die betroffenen Umgebungen eingeführt, heißt es in der Geschichtewas darauf hinwies, dass die Sicherheitslücke durch die Ablehnung von Umleitungsstatuscodes für Datenverbindungsendpunkte behoben wurde.
Auf der Seite des Unternehmens Blog Am Dienstag erklärten die Forscher von Tenable, sie hätten durch eine serverseitige Anforderungsfälschung mehrere Probleme bei der Rechteausweitung in Azure Health Bot entdeckt. Dadurch erhielten die Forscher Zugriff auf mandantenübergreifende Ressourcen.
Tenable erklärte, seine Forscher seien an Datenverbindungen interessiert, die es Bots ermöglichen, mit externen Datenquellen zu interagieren, um Informationen von anderen Diensten abzurufen, die der Anbieter möglicherweise nutzt – „wie etwa einem Portal für Patienteninformationen oder einer Referenzdatenbank für allgemeine medizinische Informationen“.
„Aufgrund der gewährten Zugriffsebene ist es wahrscheinlich, dass eine seitliche Bewegung zu anderen Ressourcen möglich gewesen wäre“, sagten die Forscher.
Sie sagten, sie hätten auch einen anderen Endpunkt entdeckt, der zur Validierung von Datenverbindungen für Fast Healthcare Interoperability Resources-Endpunkte verwendet wurde, die „mehr oder weniger anfällig für denselben Angriff“ waren. Der FHIR-Endpunktvektor konnte jedoch Anfragen und Zugriffe nicht beeinflussen.
Laut Microsoft wurden auch sechs von neun Zero-Day-Schwachstellen ausgenutzt. August-Bericht.
DER GRÖSSERE TREND
Das US-Gesundheitsministerium verlangt gemäß den Regeln seines Health IT Certification Program FHIR-APIs in allen zertifizierten elektronischen Patientenaktensystemen, auf die über Azure Health Bot zugegriffen werden kann.
Da es sich bei FHIR um ein Framework handelt, lassen sich entdeckte Schwachstellen normalerweise darauf zurückführen, wie Daten- und App-Entwickler es implementieren. Der FHIR-Standard wird allgemein als Teil der zukünftigen Interoperabilität im Gesundheitswesen angesehen.
Im Juni teilten das Büro des Nationalen Koordinators für Gesundheitstechnologie und die Health Resources and Services Administration mit, dass die HRSA begonnen habe, FHIR-basierte APIs zu verwenden, um Berichtsprozesse zu optimieren und die Datenqualität zu verbessern, und seit April Live-Datenberichte von ihrem Uniform Data System erhalte.
„Die (United States Core Data for Interoperability, ein standardisierter Satz von Gesundheitsdatenklassen und -elementen) und Bulk FHIR wurden entwickelt, um den digitalen Klebstoff für ein lernendes Gesundheitssystem und eine vollständig berechenbare Rechenschaftspflicht für die Leistung dieser Anbieter auf moderne Weise mit großen Datenmengen bereitzustellen“, sagte Don Rucker, ehemaliger ONC-Chef und Chief Strategy Officer bei 1UpHealth Neuigkeiten aus der Gesundheits-IT zum Zeitpunkt der Ankündigung der Agenturen.
ORIENTIERTE DATEN
„Diese Datenverbindungsfunktion ist so konzipiert, dass das Backend des Dienstes Anfragen an APIs von Drittanbietern stellen kann“, sagten die Forscher von Tenable in dem Blogbeitrag.
„Beim Testen dieser Datenverbindungen, um zu sehen, ob mit internen Endpunkten des Dienstes interagiert werden konnte, stellten die Forscher von Tenable fest, dass viele gängige Endpunkte, wie etwa der interne Metadatendienst von Azure, entsprechend gefiltert oder nicht zugänglich waren. Bei näherer Betrachtung stellte sich jedoch heraus, dass diese Abhilfemaßnahmen durch die Ausgabe von Umleitungsantworten (z. B. Statuscodes 301/302) umgangen werden konnten.“
Andrea Fox ist leitende Redakteurin von Healthcare IT News.
E-Mail: afox@himss.org
Healthcare IT News ist eine Veröffentlichung von HIMSS Media.
Das HIMSS Healthcare Cybersecurity Forum findet vom 31. Oktober bis 1. November in Washington, DC statt. Mehr erfahren und registrieren.
