News

Für medizinisches Gerät ausstehende Patches von WannaCry attackiert

Ursprünglich wurde angenommen, dass nur Windows-Maschinen angreifbar sind, doch es ist wohl keine große Überraschung, dass auch medizinische Ausrüstung und industrielle Kontrollsysteme der Bedrohung durch den Ausbruch der WannaCry-Ransomware ausgesetzt waren.

In den letzten Tagen hat das Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) des Ministeriums für Innere Sicherheit der Vereinigten Staaten gemeinsam mit verschiedenen Herstellern medizinischer Geräte begonnen, die Verbraucher vor dem Risiko zu warnen, das das Schadprogramm darstellt, und über Maßnahmen zur Schadensbegrenzung zu informieren, die von Krankenhäusern und Fabriken ergriffen werden sollten, die Software auf verwundbaren Windowsversionen mit aktiviertem SMBv1 laufen haben.

WannaCry, die Ransomware, die sich letzten Freitag ihren Weg durch das Internet bahnte, nutzt EternalBlue aus, einen entfernten Codeausführungsangriff, der auf eine gepatchte SMBv1-Sicherheitslücke in Windows abzielt. Ein Patch für diese Sicherheitslücke, die im April von der Hackergruppe ShadowBrokers öffentlich gemacht wurde, hat Microsoft bereits im März zur Verfügung gestellt, doch anscheinend wurde es noch nicht von vielen angewandt, auch nicht von IT-Administratoren in Krankenhäusern.

Siemens warnte seine Kunden erstmals am Dienstag, dass einige seiner Healthineers-Produkte – die Geräte aus der Medizin-Sparte des Unternehmens – von den SMBv1-Sicherheitslücken hinter der WannaCry-Kampagne betroffen sind.

Insbesondere sind laut Siemens alle Versionen des Multi-Modality Workplace(.PDF) (MMWP) des Unternehmens – einer Plattform für bildgebende Verfahren in den radiologischen Abteilungen von Krankenhäusern – sowie alle Versionen der MAGNETOM MRI Systeme(.PDF) des Unternehmens – wuchtige Magnetresonanzröhren zur Bildgebung in Krankenhäusern – gegenüber einem Angriff verwundbar.

Siemens hat am Dienstag ein Sicherheitsbulletin und einen Leitfaden für beide Produkte herausgegeben.

In dem Bulletin weist das Unternehmen ausdrücklich darauf hin, dass es in hohem Maße von der Art und Weise, wie die Geräte konfiguriert und bereitgestellt sind, abhängig ist, ob sie tatsächlich ausgenutzt werden können, dass aber an Updates für die Produkte noch gearbeitet werde. In der Zwischenzeit fordert Siemens seine Kunden auf, die Produkte zu isolieren, die auf den TCP-Ports 139, 445 und 3389 horchen.

In den letzten paar Tagen haben Forscher immer wieder WannaCry-Kampagnen beobachtet, die neben Kampagnen zum Fördern von Kryptowährung – das Internet nach Zielen mit offenem Port 445 absuchen – eine Praxis die allgemein von Microsoft verpönt ist. Trotzdem teilte Rapid7 am Mittwoch mit, dass das Sicherheitsunternehmen über 800,00 Geräte ausgemacht hätte, auf denen SMB über Port 445 verfügbar war.

Siemens forderte seine Nutzer nicht nur auf, den Port zu deaktivieren, sondern auch zu versuchen, die betroffenen Produkte innerhalb ihrer jeweiligen Netzwerksegmente zu isolieren und sicherzustellen, dass sie über Backups und Wiederherstellungsprozeduren verfügen.

Die Empfehlungen des Unternehmens waren eine Wiederholung der Meinungen, die Experten bereits vielfach im Laufe der Woche geäußert hatten, unter anderem die Aufforderung angreifbare Maschinen zu patchen und sicherzustellen, dass die Offline-Backups sicher und offline gespeichert sind.

Siemens ist nicht der einzige Hersteller von medizinischer Ausrüstung, der die Herausgabe von Patches plant, um weitere WannaCry-Infektionen abzumildern.

HITRUST, die Health Information Trust Alliance, berichtete am Montag, dass auch die medizinischen Geräte von Bayer im Laufe des Wochenendes von WannaCry betroffen waren. Der Bericht von HITRUST weist darauf hin, dass Siemens-Geräte – wie die in Kürze entscheidenden Patches vermuten lassen – ebenfalls betroffen sind.

Das Unternehmen hat die Entwicklung eines Patches für Windows-basierte Geräte – vermutlich radiologische Systeme -, die von der Ransomware angegriffen wurden, noch nicht abgeschlossen.

Ein Sprecher des Unternehmens erklärte am Mittwoch gegenüber Threatpost, dass es daran arbeite, das Patch baldmöglichst bereitzustellen, allerdings noch keinen fixen Veröffentlichungstermin habe.

Während Siemens den HITRUST-Bericht über die Verwicklung seiner Geräte in die WannaCry-Kampagne nicht bestätigt hat, ließ das Unternehmen verlauten, dass es Seite an Seite mit den Kunden und der digitalen Abteilung des National Health Service arbeite, um die „Ransomware-Attacke“ zu beheben.

„Seitdem wir am Freitagnachmittag erstmals Kenntnis von der Ransomware-Attacke erhielten, arbeiten wir eng mit unseren Kunden und NHS Digital zusammen. Das ist eine aufkommende Situation und wir konzentrieren uns darauf, den Systembetrieb so schnell wie möglich wiederherzustellen, ohne Abstriche bei der Qualität zu machen. Ingenieure haben an den betroffenen Systemen gearbeitet und werden ununterbrochen mit den Kunden in Kontakt bleiben, bis die Systeme wiederhergestellt sind“, hieß es aus dem Unternehmen.

Die Schadsoftware WannaCry wird dafür verantwortlich gemacht, Dienste innerhalb von NHS-Organisationen im Vereinten Königreich außer Gefecht gesetzt zu haben, als sie erstmals am vorvergangenen Freitag seine schädlichen Runden zog.

Der Hersteller von medizinischem Gerät Becton, Dickinson and Company (BD) warnte vergangene Woche ebenfalls vor WannaCry, allerdings auf eher allgemein Weise. Das Unternehmen spezifizierte nicht, welche seiner Produkte – wenn überhaupt – betroffen sind, verkündete jedoch, dass sie Windows unterstützen. In einem Produktsicherheitsbulletin empfahl der Hersteller seinen Nutzern, das CVE-2017-0290-Patch von Microsoft anzuwenden und sicherzustellen, dass Risikokontrollmechanismen für SMB unter Windows bereitstehen.

Rockwell Automation und ABB, ein Schweizer Automatisierungstechnikkonzern, warnten vergangene Woche ebenfalls vor der Schadsoftware.

Während keins der beiden Unternehmen glaubt, seine Software sei direkt in die Kampagne verwickelt, waren beide der Meinung, dass Systeme, auf denen ihre Produkte unter Windows laufen, vermutlich betroffen sind.

Wie andere Hersteller auch, forderte ABB seine Kunden auf (.PDF), Backups ihrer Systeme zu erstellen, MS17-010 zu installieren und Windows File Sharing via SMB-Protokoll zu blockieren oder einzuschränken.

Rockwell, ein Unternehmen, das in erster Linie industrielle Kontrollkomponenten wie Flachbildschirme, CRTs und Computers für Fertigungsanlagen produziert, verwies die Nutzer auf Microsofts MS17-010 Security Bulletin. Das Unternehmen schlägt den Nutzern vor, das Patch von Microsoft zunächst auf einem Nicht-Produktionssystem auszuprobieren, um sicherzustellen, dass es keine unerwünschten Nebeneffekte mit sich bringt.

Das ICS-CERT, das am vergangenen Montag eine Warnung veröffentlichte und diese am Dienstag aktualisierte, behält die Hersteller von industriellen Kontrollsystemen, die Warnmitteilungen zu WannaCry veröffentlicht haben, wie Siemens und BD, weiterhin im Auge. Das Team bittet die Gesundheitsdienstleister dringend, der Richtlinie der amerikanischen Arzneimittelzulassungsbehörde (FDA) zur Cybersicherheit von medizinischem Gerät zu folgen, die besagt, dass keine Überprüfung durch die FDA notwendig ist, wenn Unternehmen Änderungen an medizinischen Geräten vornehmen, sofern diese der Stärkung der Cybersicherheit dienen.

Die Electronic Healthcare Network Accreditation Commission (EHNAC), eine autonome Normungs-Organisation, die die elektronischen Gesundheitsnetzwerke beaufsichtigt, hat bereits am vorvergangenen Sonntag vor WannaCry gewarnt. Seitens der Kommission hieß es, sie halte sich an die Datenschutzmaßnahmen „innerhalb der Zulassungskriterien, um die Bedrohung durch derartige Datenlecks zu mindern und die von den Verantwortlichen im Gesundheitswesen verwalteten geschützten personenbezogenen Daten zu sichern.“

„Wir begrüßen die Anstrengungen der Sicherheitsbehörden, diese Attacke einzudämmen und zu stoppen und wir fordern alle auf, ihre Datenschutzprozeduren und Sicherheitsabläufe zu überprüfen und sicherzustellen, dass sie bestens vorbereitet sind, um die Auswirkungen künftiger Bedrohungen möglichst gering zu halten.“

Quelle: Threatpost

Für medizinisches Gerät ausstehende Patches von WannaCry attackiert

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach