image

Zero day-lek in Windows XP bij malware in ziekenhuis genoemd

zaterdag 23 januari 2016, 06:30 door Redactie, 10 reacties

Deze week werd bekend dat Windows XP-computers van een ziekenhuis in Melbourne met malware besmet waren geraakt, wat volgens het Australische iTnews door een zero day-lek in het besturingssysteem kwam. Door de infectie moest personeel bloed-, weefsel en urinemonsters handmatig verwerken.

Het magazine Pulse+IT kreeg te horen dat de computers met een nieuwe variant van de Qbot-worm besmet waren geraakt. De malware staat ook bekend als Qakbot. Volgens een bron zou de malware naast XP-computers ook andere machines in het ziekenhuis hebben besmet. In het geval van Windows XP zorgde de malware ervoor dat de machines niet meer werkten. De Qbot-versie zou namelijk meer op Windows 7-machines zijn gericht. Het ziekenhuis besloot daarop om een image van alle XP-computers terug te zetten.

Ook iTnews meldt dat de malware in kwestie Qbot was. Volgens de website wist de malware computers via een zero day-exploit in Windows XP te infecteren. Details worden echter niet gegeven. Sinds Microsoft de ondersteuning van Windows XP begin 2014 stopte waarschuwden sommige experts dat XP-computers op grote schaal zouden worden aangevallen, aangezien het besturingssysteem geen updates meer kreeg. De aanvallen bleven echter uit.

Wel werden enkele Windows-kwetsbaarheden gevonden waar ook XP mee te maken zou hebben, maar voor zover bekend hebben er geen omvangrijke aanvallen via zero day-lekken op Windows XP plaatsgevonden. ITnews geeft echter geen meer details over de vermeende exploit. We hebben de publicatie dan ook om meer informatie gevraagd. Wel zou het ziekenhuis in Melbourne bezig zijn met een migratieproject, om 4.000 Windows XP-computers naar een nieuwer besturingssysteem te migreren. Op het moment van de aanval draaiden zo'n 1800 computers nog op XP.

Reacties (10)
23-01-2016, 08:51 door Anoniem
Is 0-day nog wel de juiste term? Het zal gewoon nooit gefixed worden omdat het systeem niet ondersteund wordt.
23-01-2016, 09:09 door [Account Verwijderd]
[Verwijderd]
23-01-2016, 09:30 door Anoniem
Zero day-lek in Windows XP bij malware in ziekenhuis genoemd

Windows XP heeft al een tijdje afgedaan dacht ik wat dan weer niet belet dat je het her en der nog ziet gebruiken.

Opgemerkt in een Carrefour zelfs dat daar op de pc's nog XP opstond.

Ga je het dan zelf niet een beetje zoeken?

Ok, de dag van vandaag dwingt men u om te volgen, up-to-date te blijven doe je dat niet dan loop je de kans ...
23-01-2016, 09:44 door karma4
Er zullen nog wel heel veel medische apparatuur op XP draaien. (embedded software a la IOT)
Als je de beveiliging serieus neemt isoleer je die met gescheiden netwerken en meer volgens vrij gangbare richtlijnen die als "open standaarden" berschikbaar zijn. Dit is oa ISO27001 ISO27002 en voor medisch NEN7510 (Nederland)

Devices .... "A source at Royal Melbourne told Pulse+IT that the malware particularly affected the pathology department, where the majority of PCs run on XP and the laboratory information system runs on Windows Server 2003.

The source said the worm had infected other machines in the hospital running newer operating systems, but when it infected an XP machine, it effectively “killed” it. However, the hospital also has a few PCs attached to aged medical equipment running on Windows NT that are still working fine."
Gelukkig pathologie en niet intensive care.

Je hebt weinig keus de machines zijn te duur om constant aan te sleutelen en te veranderen.
Met 8 inch floppy machines kun je heel blij zijn. (minutemans). Hangen niet aan internet

Als we naar de IOT verhalen kijken lijkt het er op dat die wereld niet meer goed komt. Het moet goedkoop en snel, data kwaliteit/security is iets voor "we zien wel". Iemand ooit op onderzoek gegaan naar de verouderde software in je eigen auto?
23-01-2016, 18:22 door Briolet - Bijgewerkt: 23-01-2016, 18:23
Door Anoniem: Is 0-day nog wel de juiste term?

Dat vroeg ik me ook af. Als ik af ga op de Engelse of Nederlandse Wikepedia, dan is het geen 0-day:

een computerdreiging die probeert misbruik te maken van zwakke delen in software die onbekend zijn voor anderen of de softwareontwikkelaar.

Daar staat expliciet dat het een onbekend lek moet zijn. Volgens die definitie is een bekend lek, weke niet meer gepatched zal orden, geen 0-day. Dat is ook mijn gevoel bij dit soort zwakheden. Door dit 0-day te noemen, devalueer je de oorspronkelijke betekenis.
23-01-2016, 20:41 door Anoniem
Door Briolet:
Door Anoniem: Is 0-day nog wel de juiste term?

Dat vroeg ik me ook af. Als ik af ga op de Engelse of Nederlandse Wikepedia, dan is het geen 0-day:

een computerdreiging die probeert misbruik te maken van zwakke delen in software die onbekend zijn voor anderen of de softwareontwikkelaar.

Daar staat expliciet dat het een onbekend lek moet zijn. Volgens die definitie is een bekend lek, weke niet meer gepatched zal orden, geen 0-day. Dat is ook mijn gevoel bij dit soort zwakheden. Door dit 0-day te noemen, devalueer je de oorspronkelijke betekenis.
Het is wat geneuzel in de marge, maar als we het er toch over hebben:
het gaat volgens de tekst toch om een nieuwe variant van de Qbot-worm?
En als het een tot nu toe onbekende variant is, dan mag het toch best "zero day" heten?

Ik versta onder "zero day": het virus is nieuw en komt plotseling opdagen. (onverwacht; je zag hem niet aankomen)
M.a.w.: AV-leveranciers en de onderhoudsafdeling van de betreffende software hadden absoluut 0 dagen de tijd om maatregelen te treffen. Daar komt de term "zero day" volgens mij vandaan.

"A zero-day (also known as zero-hour or 0-day) vulnerability is a previously undisclosed computer-software vulnerability that hackers can exploit to adversely affect computer programs, data, additional computers or a network. It is known as a "zero-day" because once the flaw becomes known, the software's author has zero days in which to plan and advise any mitigation against its exploitation (for example, by advising workarounds or by issuing patches)."
[bron: https://en.wikipedia.org/wiki/Zero_day_attack]

Of het later wel of niet gepatcht wordt, doet wellicht niet ter zake.
En anders is het in dit geval altijd nog een zero-day for Windows 7 systemen (waar het voor bedoeld was)

"Sinds Microsoft de ondersteuning van Windows XP begin 2014 stopte waarschuwden sommige experts dat XP-computers op grote schaal zouden worden aangevallen, aangezien het besturingssysteem geen updates meer kreeg. De aanvallen bleven echter uit."
En zo zien we maar weer: de soep wordt nooit zo heet gegeten dan ze wordt opgediend.
(anders gezegd: overdrijven is ook een vak...)
Vaak kom je met goede voorbereiding op een crash (systeem image achter de hand houden), goede gewoonten,
opletten met je data (encryptie+backup(s)), en opletten waarmee de PC verbinding maakt (Firewall) nog een heel eind.

Goeroehoedjes
24-01-2016, 01:57 door Anoniem
Windows hoort niet thuis in ziekenhuizen.
Leuk voor games. Meer niet.
24-01-2016, 13:12 door Anoniem
Door Anoniem: Windows hoort niet thuis in ziekenhuizen.
Leuk voor games. Meer niet.
Zeer juist, en zeker geen Win10-spionage als het even kan.
24-01-2016, 20:28 door karma4
Door Anoniem:
Door Anoniem: Windows hoort niet thuis in ziekenhuizen.
Leuk voor games. Meer niet.
Zeer juist, en zeker geen Win10-spionage als het even kan.
Laten we die medische meetapparatuur dan eens nerzzetten als smartphone appserver of iot apparaten. Veilig ? Van geen kanten.
Dacht je nu echt dat het om hobby machientjes zoals thuis gaat.

Het probleem is dat lcm life cycle management met uitgebreide testen tijdrovend en kostbaar is. Pas nadat zoiets vele malen gecontroleerd is gezien met vatkegging door vele ogen wordt het operationeel.
Met kleine series specifieke apparatuur weet je dat het vele jaren kan duren. Dat heet rrisico-managent waarbij security echt van belang is.

Staat los van OS omgevingen maar is veel wezenlijker.
25-01-2016, 09:31 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.