Microsoft Azure Health Bot服務漏洞曝光：可能影響跨租戶資源的安全

近期，Tenable Research揭示了Microsoft Azure Health Bot服務中的數個許可權提升漏洞，這些漏洞可能導致伺服器端請求偽造（Server Side Request Forgery, SSRF），並允許存取其他租戶的資源。這些問題雖已被Microsoft修補，但仍然引發了對聊天機器人安全的廣泛擔憂。

Azure Health Bot服務使醫療保健機構能夠創建虛擬健康助手，處理敏感健康資訊。然而，這些漏洞使得攻擊者能夠獲得管理跨租戶資源的權限，並繞過原本的安全保護措施。Tenable的研究指出，這些問題可以通過配置外部主機來實施攻擊，並利用301或302重定向代碼來獲取元數據中的存取令牌。

這些發現突顯了快速開發和部署過程中的安全風險，特別是在人工智慧和雲服務領域。專家警告，雖然目前已經加強了醫療保健領域的安全措施，但保護敏感資料仍需更加謹慎。

新聞來源：Microsoft Azure AI Health Bot Infected With Critical Vulnerabilities (darkreading.com)