{"id":299963,"date":"2024-08-18T00:03:00","date_gmt":"2024-08-17T22:03:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=299963"},"modified":"2024-08-17T12:32:31","modified_gmt":"2024-08-17T10:32:31","slug":"microsoft-und-seine-ki-nderungen-im-kleingedruckten-und-schwachstelle-im-ai-healthcare-chatbot-service","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/08\/18\/microsoft-und-seine-ki-nderungen-im-kleingedruckten-und-schwachstelle-im-ai-healthcare-chatbot-service\/","title":{"rendered":"Microsoft und seine KI: Änderungen im Kleingedruckten und Schwachstelle im AI Healthcare Chatbot Service"},"content":{"rendered":"

\"Stop[English]KI ist ja das Thema, mit dem Microsoft aktuell punkten will. Ob vieles davon Sinn macht, muss mit einem Fragezeichen versehen werden. Mir sind die Tage einige Fundsplitter untergekommen, die Firmenentscheider den Einsatz von Microsofts AI \u00fcberdenken lassen sollte. So wurde im August 2024 eine fette Schwachstelle in Microsofts AI Healthcare Chatbot Service bekannt. Gleichzeitig versucht Microsoft AI im Edge PDF-Modul zu forcieren. Um sich nicht um Kopf und Kragen zu bringen, hat Microsoft einige \u00c4nderungen im Kleingedruckten bez\u00fcglich AI-Einsatz vorgenommen. Die Kurzfassung: Microsofts AI (LLM) darf nicht f\u00fcr was \"wichtiges\" eingesetzt werden. Hier ein Abriss dieser Themen.<\/p>\n

<\/p>\n

Schwachstelle CVE-2024-38109 in Azure Health Bot <\/h2>\n

\"\"Der Azure Health Bot ist eine auf Microsofts Azure-Cloud-Plattform aufsetzende AI-L\u00f6sung, die f\u00fcr das Gesundheitswesen angeboten wird. Mit Azure Health Bot k\u00f6nnen Entwickler (laut Microsoft<\/a>) in Gesundheitsorganisationen im gro\u00dfen Stil KI-gest\u00fctzte, konforme \"Unterhaltungserfahrungen\" f\u00fcr das Gesundheitswesen entwickeln. Der Dienst kombiniert eine integrierte medizinische Datenbank mit Funktionen f\u00fcr nat\u00fcrliche Sprache. So sollen Bots klinische Fachbegriffe verstehen k\u00f6nnen. Zudem lassen Bots sich laut Microsoft ganz einfach an die speziellen klinischen Anwendungsf\u00e4lle einer Organisation anpassen. Der Dienst stellt die Einhaltung von branchenspezifischen Compliancevorgaben sowie den Datenschutz gem\u00e4\u00df HIPAA-Standards sicher, br\u00fcstet sich Microsoft.<\/p>\n

Klingt gut und w\u00e4re in einer idealen Welt, in der Microsoft seine Software im Griff hat, auch f\u00fcr den Einsatz zu erw\u00e4gen. Aber Microsofts Azure Health Bot  erweist sich sicherheitstechnisch irgendwie als \"wandelndes Sicherheitsrisiko\". Im Rahmen meines Blog-Beitrags habe ich mal schnell die Suchfunktion dieses Blogs angeworfen. <\/p>\n

Im Mai 2024 hatte ich im Beitrag Lethal Injection: Microsoft AI-Bot f\u00fcr das Gesundheitswesen mal eben gehackt<\/a> berichtet, wie ein Sicherheitsforscher Microsofts Azure Health Bot mal eben am Wochenende gehackt hat. Ist zwar nicht direkt Azure Health Bot, aber auf der BlackHat 2024 hat ein Sicherheitsforscher gleich mehrere Methoden vorgestellt, mit denen man Microsofts CoPilot hacken kann (siehe BlackHat 2024: Remote Code Execution-Angriff auf M365 Copilot per E-Mail<\/a>).<\/p>\n

Zum  Patchday am 13. August 2024 wurde ich durch die Schwachstelle CVE-2024-38109<\/a><\/u> aufgeschreckt. Es handelt sich um eine Elevation of Privilege-Schwachstelle (also Rechteausweitung) im Azure Health Bot, die mit dem CVEv3 Score 9.1 (critical) bewertet wurde. Diese kritische SSRF EoP-Schwachstelle im Azure Health Bot . Die Schwachstelle wurde von dem Tenable-Forscher Jimi Sebree entdeckt und an Microsoft weitergeleitet. <\/p>\n

Tenable hat im Blog-Beitrag Compromising Microsoft's AI Healthcare Chatbot Service<\/a> mehr Details ver\u00f6ffentlicht. Die Kurzfassung: Forscher von Tenable Research haben gleich mehrere Probleme bei der Ausweitung von Privilegien im Azure Health Bot Service entdeckt, die Server-side request forgery-Angriffe (SSRF) erm\u00f6glichen. Damit ist laut Sicherheitsforscher ein mandanten\u00fcbergreifender Zugriff auf Ressourcen m\u00f6glich.<\/p>\n

Ben\u00f6tigt wurde ein Token, das sich die Sicherheitsforscher beschaffen konnten. Mittels dieses Tokens lie\u00dfen sich dann die Microsoft-Abonnements, auf die Zugriff bestand, \u00fcber eine URL per API-Aufruf auflisten. \u00dcber die Microsoft-interne Abonnement-ID lie\u00dfen sich die zugeh\u00f6rigen Ressourcen der Tenants auflisten.<\/p>\n

Als die Sicherheitsforscher von Tenable feststellten, dass diese Ressourcen Identifikatoren enthielten, die auf Tenant-\u00fcbergreifende Informationen hinwiesen (d. h. Informationen \u00fcber andere Nutzer\/Kunden des Dienstes), stellten sie ihre Untersuchung dieses Angriffsvektors sofort ein. Gleichzeitig wurden die Ergebnisse am 17. Juni 2024 an MSRC gemeldet und diese Microsoft Einheit best\u00e4tigte das Problem. Mit Stand vom 2. Juli 2024 soll ein Fix lauf MSRC in allen Regionen ausgerollt worden sein. Eine Ausnutzung sei nicht festgestellt worden, hie\u00df es von Microsoft.<\/p>\n

Manche Dinge muss Microsoft aber zwei Mal machen. Nach der MSRC-Mitteilung, dass das Problem behoben sei, setzte Tenable Research die Untersuchung fort. Die urspr\u00fcngliche Proof-of-Concepts, die MSRC w\u00e4hrend des Offenlegungsprozesses zur Verf\u00fcgung gestellt wurden, funktionierten nicht mehr. Das ist schon mal gut. Wie sich aber herausstellte, bestand die Microsoft Problembehebung darin, die Redirect-Statuscodes f\u00fcr Datenverbindungs-Endpunkte einfach zur\u00fcckzuweisen, wodurch dieser Angriffsvektor zwar eliminiert wurde.<\/p>\n

Dennoch entdeckten die Forscher einen weiteren Endpunkt, der f\u00fcr die Validierung von Datenverbindungen f\u00fcr FHIR-Endpunkte verwendet wird. Dieser Validierungsmechanismus war mehr oder weniger anf\u00e4llig f\u00fcr denselben Angriff wie oben beschrieben. Das ist jetzt schlecht. Laut Microsoft waren \u00fcber diesen Endpunkt aber keine Mandanten-\u00fcbergreifenden Zugriffe m\u00f6glich. Tenable hat die Untersuchungen wieder eingestellt und Microsoft informiert. <\/p>\n

Dieses zweite Problem wurde am 9. Juli gemeldet und am 12. Juli behoben. Wie bei der ersten Schwachstelle wurden nach Kenntnis von Tenable keine Hinweise darauf gefunden, dass diese Schwachstelle von einem b\u00f6sartigen Akteur ausgenutzt wurde. Am 13. August 2024 erfolgte dann die Offenlegung und Microsoft gibt an, dass die Schwachstelle gepatcht wurde und f\u00fcr Benutzer des Health Bot-Dienstes kein Handlungsbedarf besteht. Der Vorfall zeigt aber erneut, wie wackelig dieser gesamte Ansatz ist – und dann lassen die Leute solche Dienste auf Gesundheitsdaten los. Mir f\u00e4llt da nur ein abgehalfterter Spruch von einer FDP Wahlkampagne: \"Digitalisierung first, Bedenken second\" ein. Weitere Informationen zu dieser Sicherheitsl\u00fccke finden sich in den Tenable Research Advisories TRA-2024-27<\/a><\/u> und TRA-2024-2<\/a> <\/u>sowie in obigem Tenable-Blogbeitrag<\/a>.<\/p>\n

Microsofts \u00c4nderungen im AI-Kleingedruckten<\/h2>\n

K\u00fcrzlich gab es eine \u00c4nderung an den Microsoft Nutzungsbedingungen<\/a>, die zum 30. September 2024 wirksam werden. Ich habe die \u00c4nderungen in der AGB, im Details, auch im Hinblick auf den Einsatz von Microsofts AI-L\u00f6sungen, nicht tiefer analysiert. Es gibt aber die beiden Punkt:<\/p>\n