Zero day-lek in Windows XP bij malware in ziekenhuis genoemd
Deze week werd bekend dat Windows XP-computers van een ziekenhuis in Melbourne met malware besmet waren geraakt, wat volgens het Australische iTnews door een zero day-lek in het besturingssysteem kwam. Door de infectie moest personeel bloed-, weefsel en urinemonsters handmatig verwerken.
Het magazine Pulse+IT kreeg te horen dat de computers met een nieuwe variant van de Qbot-worm besmet waren geraakt. De malware staat ook bekend als Qakbot. Volgens een bron zou de malware naast XP-computers ook andere machines in het ziekenhuis hebben besmet. In het geval van Windows XP zorgde de malware ervoor dat de machines niet meer werkten. De Qbot-versie zou namelijk meer op Windows 7-machines zijn gericht. Het ziekenhuis besloot daarop om een image van alle XP-computers terug te zetten.
Ook iTnews meldt dat de malware in kwestie Qbot was. Volgens de website wist de malware computers via een zero day-exploit in Windows XP te infecteren. Details worden echter niet gegeven. Sinds Microsoft de ondersteuning van Windows XP begin 2014 stopte waarschuwden sommige experts dat XP-computers op grote schaal zouden worden aangevallen, aangezien het besturingssysteem geen updates meer kreeg. De aanvallen bleven echter uit.
Wel werden enkele Windows-kwetsbaarheden gevonden waar ook XP mee te maken zou hebben, maar voor zover bekend hebben er geen omvangrijke aanvallen via zero day-lekken op Windows XP plaatsgevonden. ITnews geeft echter geen meer details over de vermeende exploit. We hebben de publicatie dan ook om meer informatie gevraagd. Wel zou het ziekenhuis in Melbourne bezig zijn met een migratieproject, om 4.000 Windows XP-computers naar een nieuwer besturingssysteem te migreren. Op het moment van de aanval draaiden zo'n 1800 computers nog op XP.
Windows XP heeft al een tijdje afgedaan dacht ik wat dan weer niet belet dat je het her en der nog ziet gebruiken.
Opgemerkt in een Carrefour zelfs dat daar op de pc's nog XP opstond.
Ga je het dan zelf niet een beetje zoeken?
Ok, de dag van vandaag dwingt men u om te volgen, up-to-date te blijven doe je dat niet dan loop je de kans ...
Als je de beveiliging serieus neemt isoleer je die met gescheiden netwerken en meer volgens vrij gangbare richtlijnen die als "open standaarden" berschikbaar zijn. Dit is oa ISO27001 ISO27002 en voor medisch NEN7510 (Nederland)
Devices .... "A source at Royal Melbourne told Pulse+IT that the malware particularly affected the pathology department, where the majority of PCs run on XP and the laboratory information system runs on Windows Server 2003.
The source said the worm had infected other machines in the hospital running newer operating systems, but when it infected an XP machine, it effectively “killed” it. However, the hospital also has a few PCs attached to aged medical equipment running on Windows NT that are still working fine."
Gelukkig pathologie en niet intensive care.
Je hebt weinig keus de machines zijn te duur om constant aan te sleutelen en te veranderen.
Met 8 inch floppy machines kun je heel blij zijn. (minutemans). Hangen niet aan internet
Als we naar de IOT verhalen kijken lijkt het er op dat die wereld niet meer goed komt. Het moet goedkoop en snel, data kwaliteit/security is iets voor "we zien wel". Iemand ooit op onderzoek gegaan naar de verouderde software in je eigen auto?
Dat vroeg ik me ook af. Als ik af ga op de Engelse of Nederlandse Wikepedia, dan is het geen 0-day:
Daar staat expliciet dat het een onbekend lek moet zijn. Volgens die definitie is een bekend lek, weke niet meer gepatched zal orden, geen 0-day. Dat is ook mijn gevoel bij dit soort zwakheden. Door dit 0-day te noemen, devalueer je de oorspronkelijke betekenis.
Dat vroeg ik me ook af. Als ik af ga op de Engelse of Nederlandse Wikepedia, dan is het geen 0-day:
Daar staat expliciet dat het een onbekend lek moet zijn. Volgens die definitie is een bekend lek, weke niet meer gepatched zal orden, geen 0-day. Dat is ook mijn gevoel bij dit soort zwakheden. Door dit 0-day te noemen, devalueer je de oorspronkelijke betekenis.
het gaat volgens de tekst toch om een nieuwe variant van de Qbot-worm?
En als het een tot nu toe onbekende variant is, dan mag het toch best "zero day" heten?
Ik versta onder "zero day": het virus is nieuw en komt plotseling opdagen. (onverwacht; je zag hem niet aankomen)
M.a.w.: AV-leveranciers en de onderhoudsafdeling van de betreffende software hadden absoluut 0 dagen de tijd om maatregelen te treffen. Daar komt de term "zero day" volgens mij vandaan.
"A zero-day (also known as zero-hour or 0-day) vulnerability is a previously undisclosed computer-software vulnerability that hackers can exploit to adversely affect computer programs, data, additional computers or a network. It is known as a "zero-day" because once the flaw becomes known, the software's author has zero days in which to plan and advise any mitigation against its exploitation (for example, by advising workarounds or by issuing patches)."
[bron: https://en.wikipedia.org/wiki/Zero_day_attack]
Of het later wel of niet gepatcht wordt, doet wellicht niet ter zake.
En anders is het in dit geval altijd nog een zero-day for Windows 7 systemen (waar het voor bedoeld was)
(anders gezegd: overdrijven is ook een vak...)
Vaak kom je met goede voorbereiding op een crash (systeem image achter de hand houden), goede gewoonten,
opletten met je data (encryptie+backup(s)), en opletten waarmee de PC verbinding maakt (Firewall) nog een heel eind.
Goeroehoedjes
Leuk voor games. Meer niet.
Leuk voor games. Meer niet.
Dacht je nu echt dat het om hobby machientjes zoals thuis gaat.
Het probleem is dat lcm life cycle management met uitgebreide testen tijdrovend en kostbaar is. Pas nadat zoiets vele malen gecontroleerd is gezien met vatkegging door vele ogen wordt het operationeel.
Met kleine series specifieke apparatuur weet je dat het vele jaren kan duren. Dat heet rrisico-managent waarbij security echt van belang is.
Staat los van OS omgevingen maar is veel wezenlijker.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
