{"id":295212,"date":"2024-05-13T01:30:42","date_gmt":"2024-05-12T23:30:42","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=295212"},"modified":"2024-05-13T01:30:42","modified_gmt":"2024-05-12T23:30:42","slug":"lethal-injection-microsoft-ai-bot-fr-das-gesundheitswesen-mal-eben-gehackt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/05\/13\/lethal-injection-microsoft-ai-bot-fr-das-gesundheitswesen-mal-eben-gehackt\/","title":{"rendered":"Lethal Injection: Microsoft AI-Bot für das Gesundheitswesen mal eben gehackt"},"content":{"rendered":"

\"SicherheitEin Nutzer behauptet, dass er den Microsoft AI-Bot f\u00fcr das Gesundheitswesen mal eben an einem Freitagabend gehackt habe. Konkret hat er wohl Prompts abgesetzt, die ihm Antworten auf Fragen lieferten, die eigentlich gesperrt sein m\u00fcssten. Innerhalb weniger Stunden konnte der Nutzer auf die Daten mehrerer Gesundheitsorganisationen zugreifen. Microsoft habe zwar versucht, das Problem zu beheben, aber der Nutzer hat Wege gefunden, diese Beschr\u00e4nkungen zu umgehen. Der Ansatz zeigt, in welche K\u00fcche Firmen kommen, die Microsofts AI-L\u00f6sungen (Copilot) auf eigene Daten los lassen.<\/p>\n

<\/p>\n

Lethal Injection: Der Microsoft AI-Hack<\/h2>\n

\"\"Das Ganze ist mir als erstes in einer Serie von Tweets auf der Plattform X zum 7. Mai 2024 untergekommen. Der erste Tweet des Sicherheitsforschers Yanir Tsarimi<\/a>, der meine Aufmerksamkeit bekam, lautete \"Lethal Injection: Ich habe den KI-Bot von Microsoft f\u00fcr das Gesundheitswesen an einem Freitagabend gehackt.<\/em>\" <\/p>\n<\/p>\n

\"Lethal<\/a> <\/p>\n

Der Sicherheitsforscher schreibt, dass er damit begonnen habe, sich mit dem Azure Health Bot-Service zu besch\u00e4ftigen. Hintergrund ist, dass Gesundheitsorganisationen Chatbots f\u00fcr ihre Patienten mittels des Azure Health Bot- Service erstellen k\u00f6nnen. Da das potentiell Zugang zu sensiblen Informationen verspricht, war das ein interessantes Ziel. <\/p>\n

Schwachstellen im Azure Health Bot-Service <\/h2>\n<\/p>\n

Es war wohl so, dass der Sicherheitsforscher schnell auf Schwachstellen im Azure Health Bot-Service stie\u00df, die er dann ausnutzte. Die erste Schwachstelle erm\u00f6glichte eine URL-Injektion, die es dem Sicherheitsforscher erm\u00f6glichte, API-Authentifizierungsdaten anderer Organisationen auszulesen. \"Der Server nahm die angeforderte ID und f\u00fcgte sie in die URL ein, und ich fand einen Weg, sie auszunutzen und zu den Daten anderer Kunden zu gelangen\" schrieb der Sicherheitsforscher.<\/p>\n

<\/a>
Zum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n

Das war dann der Punkt, wo es f\u00fcr Microsoft schlecht ausging. Denn der Sicherheitsforscher fand heraus, dass der Dienst Code als Teil des AI-Chatbots ausf\u00fchren l\u00e4sst. Der Nutzer arbeitete zwar in einer AI-ChatBot-Umgebung mit eingeschr\u00e4nkten Rechten, aber er stellte fest, dass die dazu eingesetzte virtuelle Maschine von mehreren Kunden gemeinsam genutzt wird. <\/p>\n

Microsoft hatte zwar Sicherheitsmechanismen implementiert, um die Ausf\u00fchrung von Code auf dem Server selbst zu verhindern. Aber der Sicherheitsforscher fand mehrere Schwachstellen in der Implementierung. Jedes Mal, wenn diese Schwachstellen durch Microsoft behoben wurden, konnte der Sicherheitsforscher eine weitere Schwachstelle finden. Durch die Schwachstellen wurde es dem Sicherheitsforscher erm\u00f6glicht: <\/p>\n