Microsoft a pris la rare mesure de publier un correctif pour une poignée de systèmes d'exploitation hérités qu'il ne dessert plus après avoir découvert une vulnérabilité critique. La société recommande aux utilisateurs de corriger rapidement leurs systèmes afin d'éviter une autre attaque du ransomware WannaCry.
Il est "hautement probable" que des acteurs malveillants écrivent un exploit pour cette vulnérabilité, a déclaré Simon Pope, directeur de la réponse aux incidents du Centre de sécurité des réponses Microsoft (MSRC), dans un article publié mardi sur son blog, annonçant cette vulnérabilité.
Les systèmes de prise en charge vulnérables incluent Windows 7, Windows Server 2008 R2 et Windows Server 2008, a déclaré Microsoft.
Bulletin quotidien gratuit
Vous aimez cette histoire? Abonnez-vous à FierceHealthcare!
Le secteur des soins de santé reste en mutation alors que la politique, la réglementation, la technologie et les tendances façonnent le marché. Les abonnés de FierceHealthcare comptent sur notre suite de newsletters comme source incontournable pour les dernières actualités, analyses et données ayant un impact sur leur monde. Inscrivez-vous aujourd'hui pour recevoir les nouvelles et les mises à jour sur les soins de santé dans votre boîte de réception et les lire pendant vos déplacements.
Vous trouverez des téléchargements pour les versions de Windows dans le support technique dans le Guide de mise à jour de sécurité Microsoft. Les clients qui utilisent une version de Windows prise en charge et dont les mises à jour automatiques sont activées sont automatiquement protégés, a déclaré la société.
CONNEXES: Une attaque par ransomware ferme les hôpitaux du NHS alors que les logiciels malveillants se répandent dans le monde entier; "preuve" de l'attaque américaine, selon HHS
Microsoft apporte également des correctifs aux systèmes non pris en charge, notamment Windows 2003 et Windows XP. Alors que Windows 2003 et XP ne sont plus gérés par le géant de la technologie et ne reçoivent plus de correctifs pour corriger les failles de sécurité, une grande partie du secteur de la santé, en particulier des dispositifs médicaux, utilise toujours ces plates-formes.
Les clients exécutant Windows 8 et Windows 10 ne sont pas concernés par cette vulnérabilité, a indiqué la société.
La décision de Microsoft d'émettre des correctifs pour les systèmes d'exploitation non pris en charge est sans précédent et constitue un drapeau rouge majeur pour le secteur de la santé, a déclaré David Finn, vice-président en charge de l'innovation stratégique de la société de cybersécurité CynergisTek, à FierceHealthcare.
"Ils reconnaissent qu'il existe un risque important et une menace. Pour eux, écrire des correctifs pour des systèmes d'exploitation tels que XP qu'ils ne prennent pas en charge ou Windows Server 2003, il existe un message, et tous ceux qui disposent de ces systèmes d'exploitation doit prêter attention à ce message ", a déclaré Finn.
Dans l'article de blog, Microsoft a annoncé la publication de correctifs pour une vulnérabilité critique d'exécution de code à distance, CVE-2019-0708, dans des services de bureau à distance (anciennement services de terminal) affectant certaines versions antérieures de Windows.
Microsoft a déclaré que la vulnérabilité est "vermiculaire", ce qui signifie que tout futur programme malveillant qui exploiterait cette vulnérabilité pourrait se propager d’ordinateur vulnérable à ordinateur vulnérable de la même manière que le programme malveillant WannaCry, répandu dans le monde entier en 2017.
"Bien que nous n'ayons constaté aucune exploitation de cette vulnérabilité, il est très probable que des acteurs malveillants écrivent un exploit pour cette vulnérabilité et l'intègrent à leur logiciel malveillant", a déclaré Pope dans son blog.
"Maintenant que j'ai votre attention, il est important que les systèmes affectés soient corrigés le plus rapidement possible pour éviter qu'un tel scénario ne se produise. En réponse, nous prenons la mesure inhabituelle consistant à fournir une mise à jour de sécurité à tous les clients pour protéger les plates-formes Windows, y compris certaines versions de Windows non prises en charge ", a déclaré Pope.
Pour les organisations utilisant une version de logiciel Windows non prise en charge, le meilleur moyen de remédier à cette vulnérabilité est de mettre à niveau vers la dernière version de Windows, a expliqué Pope.
L'attaque de rançongiciel WannaCry de mai 2017, qui a touché plus de 300 000 machines dans 150 pays, a ciblé les systèmes d'exploitation Windows et a réussi là où ces systèmes d'exploitation manquaient de mises à jour de sécurité. Selon les données de Kaspersky Lab, environ 98% des ordinateurs concernés par le logiciel ransomware exécutaient une version de Windows 7. L’un des principaux problèmes qui se posent aux hôpitaux du monde entier est l’utilisation d’anciens systèmes d’exploitation qui ne sont plus mis à niveau ni pris en charge.
"Si les correctifs tombent généralement au bas de la liste, comme c'est souvent le cas dans les soins de santé, il est nécessaire de le placer au début de la liste. Quand vous regardez WannaCry et son potentiel, le risque est beaucoup trop grand pour retarder la mise à jour ou la correction de votre système d'exploitation ", a déclaré Finn.
En plus de la faille de sécurité de Microsoft, un certain nombre de problèmes de cybersécurité ont été mis au jour la semaine dernière. Intel a annoncé qu’il résolvait de nouveaux problèmes dans ses microprocesseurs qui pourraient permettre aux pirates d’obtenir un accès non autorisé aux données, et un groupe de pirates russes a prétendu s’être infiltré dans les réseaux de trois fabricants d’antivirus et avoir volé le code source de leur logiciel.
"Si cela est vrai et que le code source de cet antivirus est associé à celui de Microsoft, il pourrait s'agir d'une attaque dévastatrice", a déclaré Finn.
Les soins de santé criblés de systèmes d'exploitation hérités
Dans le billet de blog, Pope a déclaré que ce n’est pas un hasard si les versions ultérieures de Windows ne sont pas affectées. "Microsoft investit énormément dans le renforcement de la sécurité de ses produits, souvent par le biais d'améliorations architecturales majeures qu'il n'est pas possible de transférer aux versions antérieures de Windows", a-t-il déclaré.
En mars, le géant de la technologie avait annoncé qu'il ne prendrait plus en charge Windows 7 avant le 14 janvier, ce qui signifie qu'il ne publierait plus de mises à jour de sécurité. En septembre, Microsoft a annoncé que ses entreprises pourraient payer pour une assistance étendue sur Windows 7. La société prend en charge Windows 7 depuis 10 ans.
Les données de Netmarketshare indiquent que Windows 7 détient toujours une part de marché de 42% parmi les systèmes d'exploitation, tandis que Windows 10 détient une part de marché de 34%. La part de marché de Windows XP est de 5%.
Un récent sondage mené par Adaptiva auprès de professionnels de l'informatique appartenant à de nombreux secteurs différents indique que moins de la moitié de leurs systèmes sont passés à Windows 10 dans un délai d'un an. Les implications de cette situation pour la sécurité des entreprises sont au mieux inquiétantes, a déclaré Adaptiva.
De plus, 22% des professionnels de l'informatique s'attendent à utiliser encore Windows 7 après la fin de la date de prise en charge prévue en janvier prochain.
Le manque de progrès rapides est dû à de nombreux facteurs, notamment le temps nécessaire à la migration, la taille du personnel et les coûts, selon l’enquête.
CONNEXES: La FDA met à jour les directives relatives à la pré-commercialisation des dispositifs médicaux pour y inclure les recommandations en matière de cybersécurité
"Je pense que c'est plus grave que celui dans le secteur de la santé", a déclaré Finn en se référant aux résultats de l'enquête Adaptiva. «De nombreux professionnels de la santé utilisent Windows 7 ou des versions plus anciennes. Notre entreprise a déjà constaté que les prestataires de soins de santé envisagent d’essayer de maintenir (Windows 7) au-delà de 2020».
"Il est probable qu'il y aura des attaques après que Microsoft ne le supportera plus".
Les organisations de soins de santé se trouvent déjà dans la ligne de mire des pirates informatiques et des acteurs malveillants en raison de la valeur des données des patients et de la capacité des pirates informatiques à attaquer et à paralyser les systèmes hospitaliers et à exiger une rançon afin de les restaurer.
Selon les experts en cybersécurité, les risques de sécurité pour les soins de santé sont potentiellement énormes, car le secteur dépend toujours des systèmes d'exploitation hérités, en particulier des dispositifs médicaux. Une étude récente a révélé que 70% des appareils dans les établissements de soins de santé utiliseront des systèmes d'exploitation Windows non pris en charge d'ici janvier.
"Nous voyons des systèmes hérités dans de nombreux secteurs, mais ils ont tendance à être exacerbés et plus répandus dans les soins de santé", a déclaré Finn. Une des principales raisons est que les hôpitaux et les fournisseurs de soins de santé ne peuvent pas avoir de temps d'arrêt important. "La mise à niveau de ces systèmes d'exploitation met les systèmes hors service. La mise à niveau de vos 8 000 PC et de milliers de serveurs prend beaucoup de temps et d'efforts."
Les organisations de soins de santé sont également confrontées à d'autres obstacles, tels que le manque de ressources financières et humaines. "L'investissement nécessaire pour acheter ces mises à niveau logicielles est considérable. De plus, les soins de santé ne sont pas dotés d'un personnel comparable à celui de la plupart des industries en termes d'informatique et de sécurité", a déclaré Finn.
Les appareils médicaux et les logiciels informatiques cliniques spécialisés sont particulièrement problématiques, car nombre d'entre eux ont été conçus pour fonctionner sur des systèmes d'exploitation plus anciens, tels que Windows XP, qui n'est plus pris en charge. "Jusqu'à ce que le fabricant de logiciels mette à niveau son logiciel pour qu'il puisse fonctionner sous Windows 7 ou Windows 10, vous ne pouvez pas effectuer cette migration. Conduire ces fournisseurs, et certains de ces très petits fournisseurs, pour effectuer ces mises à niveau est très difficile", Finn m'a dit.
CONNEXES: Après WannaCry, les experts craignent que les vulnérabilités du secteur de la santé aggravent encore la prochaine attaque de ransomware
Ajoutant à la complexité, de nombreux dispositifs médicaux et systèmes cliniques spécialisés ne se sont pas connectés au réseau informatique lors de leur installation initiale. «Alors que le secteur de la santé souhaitait intégrer les données à l’ensemble du continuum de soins de santé, il a commencé à se connecter au réseau. Toutefois, nous n’avons pas changé fondamentalement la manière dont ces dispositifs ont été conçus et conçus du point de vue de la sécurité. ", A déclaré Finn.
"Avec les dispositifs médicaux, nous allons devoir changer fondamentalement leur conception afin que la sécurité soit intégrée dès le départ. De même avec nos systèmes d'exploitation et nos logiciels opérationnels, nous devrons nous préoccuper davantage de la sécurité et de la confidentialité. en tant que fonction principale et non pas quelque chose que nous ajoutons après le fait ", a déclaré Finn.
Principales priorités des responsables de la sécurité des soins de santé
Les responsables de la sécurité des soins de santé doivent examiner leurs systèmes non pris en charge, tels que Windows XP et Windows Server 2003, et déterminer s'ils peuvent être mis hors ligne ou remplacés par des systèmes plus récents, a déclaré Finn. "Nous avons eu le réveil téléphonique avec WannaCry.
"S'il n'y a pas moyen de contourner le problème et que ce système hérité ne peut pas être remplacé, ils doivent alors envisager de segmenter leur réseau et de le garder aussi segmenté que possible du réseau de production. Et, ils devraient appliquer des correctifs immédiats. Sur les systèmes qui exécutent Windows en particulier, la taille du marché est le principal vecteur de menace ", a-t-il déclaré.
"Nous vivons dans un monde où vous devez maintenir votre système d’exploitation et vos logiciels à jour", at-il ajouté.
Vectra Networks est une entreprise de détection de la menace et de cybersécurité qui collabore avec les organisations de soins de santé. Chris Morales, responsable des analyses de sécurité chez Vectra Networks, a déclaré à FierceHealthcare que les responsables de la sécurité des soins de santé devaient faire un inventaire complet de leurs dispositifs médicaux afin de les gérer plus efficacement. "De nombreux dispositifs médicaux ne sont pas acquis par l'informatique et la sécurité, mais par les médecins", a-t-il déclaré. Les responsables de l'informatique et de la sécurité ont donc du mal à savoir ce qui se trouve sur leur réseau.
"J'ai demandé à un fournisseur de soins de santé combien d'appareils IoT (Internet des objets) ils avaient. Ils ont dit environ 100 000. Nous en avons trouvé 300 000. Le problème va plus loin car certains de ces appareils ne peuvent pas être corrigés", a-t-il déclaré.
Les organisations de santé doivent travailler avec leurs fournisseurs pour inventorier leurs appareils et développer un plan pour les gérer.
"Je pense que tout le monde sait qu’ils doivent faire quelque chose; trouver du temps, de l’argent et des ressources, puis mettre en place un plan au sein de l’organisation. C’est tellement épuisant", a déclaré Finn.
Un atout possible est que les hôpitaux et les systèmes de santé deviennent plus proactifs en matière de cybersécurité, a déclaré Morales. "Il y a un hôpital qui a attrapé quatre attaques de ransomware en un an; ils ont réussi à détecter les attaques et à les contenir", a-t-il déclaré.
Commentaires
Laisser un commentaire