周三,医院里的计算机专家正在努力解决老版本Windows操作系统的一个新的严重安全漏洞。尽管微软多年来没有积极支持老版本的Windows操作系统,但很多医疗设备仍在使用Windows操作系统。
亨内平医疗保健公司的首席信息官Julie Flaschenriem说,明尼阿波利斯医疗系统在周二晚间的消息传出后启动了一个指挥中心。截至周三,该团队还在整理优先行动项目列表,以确保需要关注的旧设备的安全。
他说:“我们知道,全世界都知道,有一些人正在试图利用这次地震。这里的每一个组织,无论是卫生保健还是其他任何事情,都在试图阻止它,”Flaschenriem说,他在双子城的几个卫生系统担任信息技术职务。“我们在这方面都有一定的风险,我们要努力减轻这些风险……因为现在这样的事情已经发生得够多了,我们有现成的计划,一旦发生这样的事情,我们就可以一起着手解决。”
周二,微软开始敦促使用旧操作系统的用户立即安装安全补丁或采取其他措施,以保护自己免受可能被利用并迅速传播全球混乱的漏洞,就像2017年发生的“想哭”勒索软件攻击一样。
在这种情况下,尽管修复它的安全补丁已经发布了好几个月,但这次攻击被证明是破坏性的。两年前,“想哭”病毒影响了全球数千台未打补丁的计算机,导致英国医院网络瘫痪,并导致1.9万名医生预约被取消。
微软安全响应中心事件响应主管西蒙·波普周二在一篇博客中写道:“现在我提请大家注意,重要的是尽快修复受影响的系统,以防止类似情况发生。”“我们正在采取不寻常的措施,为所有客户提供安全更新,以保护Windows平台,包括一些不支持的Windows版本。”
周二,微软披露了一个“零日”漏洞,存在于较老的操作系统中,该系统有一个被称为“远程桌面协议”的特性。RDP是一种允许用户远程控制计算机的系统,就像公司的帮助台人员在排除故障时远程控制计算机一样。
该漏洞被认为“极有可能”在不久的将来被合并到恶意软件中,由9.8的微软的专有风险评分和CVSS基础风险评分来判断。(CVSS是一个1-10的规模,与更高的数字代表更严重的安全风险。)
这一尚未被恶意黑客利用的漏洞不需要用户交互,而且很容易在网络上未打补丁的计算机之间传播,类似于WannaCry恶意软件。
“让这个网站如此危险的是,你不需要任何访问权限,”阿里纳健康公司威胁和脆弱性管理部门的经理杰里米·斯尼登(Jeremy Sneeden)说。阿里纳健康公司在明尼苏达州和威斯康星州拥有和经营着13家医院。“有很多漏洞,你需要用户名和密码,或者某种访问机器的权限,才能让漏洞发挥作用。但这些——我想他们现在称它们为‘可虫’——它们不需要证书,这就是它们传播如此迅速的原因。”
Sneeden说,Allina周三正在处理漏洞对策,这是其正常计算机安全工作的一部分,包括不断寻找漏洞,并优先处理那些需要首先解决的问题。尽管Allina拥有超过35000台工作站和台式电脑,但其中大多数已经运行了未受影响的新版本Windows。
网络安全漏洞(技术名称为CVE-2019-0708)会影响微软仍在积极支持的旧操作系统,包括Windows 7、Windows Server 2008 R2和Windows Server 2008,以及不再积极支持的系统,包括Windows 2003和Windows XP。
微软表示,如果用户或网络管理员启用了自动更新,该补丁将自动安装在受支持的机器上。针对不受支持的机器的更新可以从Microsoft Windows安全支持中获得——就像WannaCry漏洞补丁在大规模攻击之前可用一样。
“想哭”(WannaCry)给医疗行业的每个人都敲响了警钟;和我交谈过的每个人都这么说,”维尔塔实验室(Virta Labs)驻西雅图的首席执行官、医学技术网络安全专家本·兰斯福德(Ben Ransford)说。但两年过去了,许多医疗机构仍在苦苦思索如何处理这些没有修补过的设备。在“想哭”事件发生后,他们有足够的时间整理好自己的房子,但大多数人并没有这样做,尽管他们超负荷工作的员工尽了最大努力,即便是在顶级医院。”
这种脆弱性并不是专门针对医院等卫生保健组织的。
然而,医院可能会使用较旧的软件系统,因为在广泛分布在医院校园内的可移动机器上进行更新既昂贵又耗时。此外,更新软件可能会在医院的互联IT基础设施的其他地方造成意外冲突和故障,这可能是有风险的,因为医院网络上运行着太多的关键机器。
Hennepin Healthcare和Allina的信息技术人员以前都采取了特殊措施来保护脆弱的生物医学和诊断机器,将它们隔离在计算机网络中,以便它们只能与最少数量的系统进行通信以保证正常工作,以及采取其他预防措施。
长期医疗保健设备和植入式设备中的软件往往比消费者习惯使用的软件更老,因为新的医疗设备获得批准并在医院安装需要很长时间。例如,一种新的核磁共振扫描仪可能需要数年时间才能上市并进入医院,这意味着当该系统准备安装时,底层的微软操作系统可能已经很旧了。
“我认为每个医疗机构都有这个问题,”Sneeden说。“真正的问题是,医疗设备制造商需要很长时间才能获得批准,等到这些设备获得批准、购买并投入使用时,操作系统往往已经过时了。”新产品还没有被批准。所以我们真的对此无能为力。”