Microsoft supprime une vulnérabilité dans Azure Health Bot Service

31 août 2024
| Pas de commentaires
Brèves sur la cybersécurité B2B
Exposition

Partager le post

La vulnérabilité critique trouvée dans le service Azure Health Bot de Microsoft a désormais été corrigée. Il a permis la falsification de requêtes côté serveur (SSRF) et a permis l'accès au service de métadonnées interne.

L'équipe de recherche Tenable a découvert plusieurs vulnérabilités d'élévation de privilèges dans Azure Health Bot Service à l'aide de Server-Side Request Forgery (SSRF). Ces vulnérabilités ont permis aux chercheurs d'accéder au service de métadonnées internes (IMDS) du service, puis de fournir des jetons d'accès pouvant être utilisés pour gérer les ressources entre locataires. En exploitant cette vulnérabilité, un acteur malveillant aurait pu accéder à des centaines de ressources client Azure. Tenable Research a immédiatement signalé les vulnérabilités à Microsoft dès qu'il est devenu clair que des données hautement sensibles étaient affectées.

Exposition

Service cloud vulnérable dans le secteur de la santé

Azure Health Bot Service est une plateforme cloud qui permet aux professionnels de santé d'utiliser des assistants virtuels basés sur l'IA. Essentiellement, le service permet aux prestataires de soins de santé de proposer à leurs patients des chatbots qui gèrent des flux de travail administratifs limités. À cette fin, ces chatbots ont accès aux données sensibles des patients, même si les informations disponibles peuvent varier en fonction de la configuration du bot respectif.

« Compte tenu du niveau d'accès, il aurait probablement été possible de migrer latéralement vers d'autres ressources dans les environnements clients », explique Jimi Sebree, ingénieur de recherche senior chez Tenable. "Les vulnérabilités étaient dues à une faille dans l'architecture sous-jacente du service de chatbot plutôt qu'aux modèles d'IA eux-mêmes. Cela souligne l'importance continue de la sécurité des applications Web classiques et du cloud à l'ère des chatbots alimentés par l'IA."

Exposition

Abonnez-vous à la newsletter maintenant

Lisez les meilleures nouvelles de B2B CYBER SECURITY une fois par mois



En cliquant sur "S'inscrire", j'accepte le traitement et l'utilisation de mes données conformément à la déclaration de consentement (veuillez ouvrir pour plus de détails). Je peux trouver plus d'informations dans notre Déclaration de protection des données. Après votre inscription, vous recevrez d'abord un e-mail de confirmation afin qu'aucune autre personne ne puisse commander quelque chose que vous ne voulez pas.
Développer pour plus de détails sur votre consentement
Il va sans dire que nous traitons vos données personnelles de manière responsable. Si nous collectons des données personnelles auprès de vous, nous les traitons conformément aux réglementations applicables en matière de protection des données. Vous trouverez des informations détaillées dans notre Déclaration de protection des données. Vous pouvez vous désinscrire de la newsletter à tout moment. Vous trouverez un lien correspondant dans la newsletter. Après votre désinscription, vos données seront supprimées dans les plus brefs délais. La récupération n'est pas possible. Si vous souhaitez recevoir à nouveau la newsletter, il vous suffit de la commander à nouveau. Faites de même si vous souhaitez utiliser une adresse e-mail différente pour votre newsletter. Si vous souhaitez recevoir la newsletter proposée sur le site, nous avons besoin d'une adresse e-mail de votre part ainsi que d'informations nous permettant de vérifier que vous êtes le propriétaire de l'adresse e-mail fournie et que vous acceptez de recevoir les bulletin. D'autres données ne sont pas collectées ou ne sont collectées que sur une base volontaire. Nous utilisons des fournisseurs de services de newsletter, qui sont décrits ci-dessous, pour traiter la newsletter.

CleverReach

Ce site Web utilise CleverReach pour envoyer des newsletters. Le fournisseur est CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Allemagne (ci-après « CleverReach »). CleverReach est un service permettant d'organiser et d'analyser l'envoi de newsletters. Les données que vous saisissez dans le but de vous abonner à la newsletter (par exemple l'adresse e-mail) seront stockées sur les serveurs de CleverReach en Allemagne ou en Irlande. Nos newsletters envoyées avec CleverReach nous permettent d'analyser le comportement des destinataires de la newsletter. Cela peut inclure Le nombre de destinataires qui ont ouvert le message de la newsletter et la fréquence à laquelle le lien de la newsletter a été cliqué sont analysés. À l'aide de ce que l'on appelle le suivi des conversions, il est également possible d'analyser si une action définie au préalable (par exemple, l'achat d'un produit sur ce site Web) a eu lieu après avoir cliqué sur le lien dans la newsletter. De plus amples informations sur l'analyse des données par la newsletter CleverReach sont disponibles sur : https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Le traitement des données a lieu sur la base de votre consentement (art. 6 al. 1 lit. a DSGVO). Vous pouvez révoquer ce consentement à tout moment en vous désinscrivant de la newsletter. La légalité des opérations de traitement de données qui ont déjà eu lieu n'est pas affectée par la révocation. Si vous ne souhaitez pas une analyse par CleverReach, vous devez vous désinscrire de la newsletter. À cette fin, nous fournissons un lien correspondant dans chaque message de la newsletter. Les données que vous avez stockées chez nous dans le but de vous abonner à la newsletter seront stockées par nous ou par le fournisseur de service de newsletter jusqu'à ce que vous vous désabonniez de la newsletter et supprimées de la liste de distribution de la newsletter après que vous ayez annulé la newsletter. Les données que nous stockons à d'autres fins ne sont pas affectées. Une fois que vous avez été retiré de la liste de distribution de la newsletter, votre adresse e-mail peut être stockée par nous ou le fournisseur de services de newsletter dans une liste noire si cela est nécessaire pour empêcher de futurs envois. Les données de la liste noire ne seront utilisées qu'à cette fin et ne seront pas fusionnées avec d'autres données. Cela sert à la fois votre intérêt et notre intérêt à respecter les exigences légales lors de l'envoi de newsletters (intérêt légitime au sens de l'art. 6 al. 1 lit. f RGPD). Le stockage dans la liste noire n'est pas limité dans le temps. Vous pouvez vous opposer au stockage si vos intérêts l'emportent sur nos intérêts légitimes. Pour plus d'informations, voir la politique de confidentialité de CleverReach à l'adresse: https://www.cleverreach.com/de/datenschutz/.

Le traitement des commandes

Nous avons conclu un contrat de traitement des commandes (AVV) pour l'utilisation du service susmentionné. Il s'agit d'un contrat requis par la loi sur la protection des données, qui garantit que les données personnelles des visiteurs de notre site Web ne sont traitées que conformément à nos instructions et dans le respect du RGPD.

Microsoft a confirmé que des mesures correctives ont été prises pour tous les services et régions concernés. Aucune action n'est requise de la part de l'utilisateur.

Plus sur Tenable.com

 

À propos de Tenable

Tenable est une entreprise de cyber-exposition. Plus de 24.000 53 entreprises dans le monde font confiance à Tenable pour comprendre et réduire les cyber-risques. Les inventeurs de Nessus ont combiné leur expertise en matière de vulnérabilité dans Tenable.io, offrant la première plate-forme du secteur qui offre une visibilité en temps réel et sécurise n'importe quel actif sur n'importe quelle plate-forme informatique. La clientèle de Tenable comprend 500 % du Fortune 29, 2000 % du Global XNUMX et de grandes agences gouvernementales.

 

Articles liés au sujet

Un pirate informatique crypte 12.000 XNUMX dossiers de patients

Il y a plusieurs semaines, une attaque de pirate informatique a eu lieu contre la MVZ Herz-Lungen-Praxis Hamburg-Bergedorf, une filiale qui contrôle le système d'information du cabinet de la LungenClinic Grosshansdorf. ➡ En savoir plus

Un programmeur pirate le ransomware Akira !

Le ransomware Akira a attaqué de nombreuses entreprises à travers le monde, chiffrant leurs données et extorquant d'importantes rançons. Un programmeur indonésien a désormais ➡ En savoir plus

60 fonds de pension touchés par un piratage

Un partenaire technique de Swiss Life a récemment été victime d'une attaque de pirate informatique. Selon Watson.ch, cela signifie que 60 autres caisses de pension suisses ➡ En savoir plus

Malware-as-a-Service : responsable de la plupart des attaques

Plus de la moitié de toutes les cyberattaques en 2024 ont été causées par des logiciels malveillants en tant que service (MaaS), selon les résultats d'un récent rapport sur les menaces. Dans ➡ En savoir plus

DeceptiveDevelopment : Attaque contre les développeurs de logiciels

Avec la campagne « DeceptiveDevelopment », les cybercriminels ciblent spécifiquement les développeurs de logiciels à la recherche d’un emploi. Accompagné d'un test pour prouver leur ➡ En savoir plus

Les cybermenaces deviennent plus rapides et plus dévastatrices

En 2024, les cybermenaces ont non seulement augmenté, mais elles sont également devenues plus complexes et leur impact s’est considérablement aggravé, selon les conclusions d’un récent rapport. ➡ En savoir plus

Les attaques par courrier électronique ont explosé

Les entreprises du monde entier sont confrontées à des cybermenaces de plus en plus dangereuses. Les attaques ont augmenté de 21 pour cent l’année dernière. Surtout ➡ En savoir plus

Bilan négatif : pic des ransomwares en février

Selon les experts de Bitdefender Labs, février 2025 a été un mois avec un bilan négatif. Les attaques de ransomware ont augmenté par rapport à février ➡ En savoir plus

Nouvelles courtes
, , , , ,