Flash-sårbarhed sendte Arbejdsskadestyrelsen til tælling

Det var med al sandsynlighed en sårbarhed i den udbredte Flash-software, der bevirkede, at Arbejdsskadestyrelsen lukkede sine systemer ned som følge af et ransomware-angreb.

En sårbarhed i den udbredte Flash-software fra Adobe lader til at være årsagen til, at ransomware har fundet vej ind på Arbejdsskadestyrelsens it-systemer med det resultat, at styrelsen valgte at lukke al it helt ned i samarbejde med driftsorganisationen Statens IT.

»Det tror vi, det er det mest sandsynlige. Flash er åbenbart et produkt, der bliver ved med at være huller i sikkerhedsmæssigt. Dem, der laver værn mod de huller, de kan jo næsten ikke nå at følge med,« siger vicedirektør i Statens IT Søren Ulrich Vulff.

To klienter har været inficeret i Arbejdsskadestyrelsen. Fra klient-maskinerne har malwaren haft adgang til et fællesdrev, hvor indholdet er blevet krypteret. På drevet er der desuden efterladt en fil med krav om udbetaling af en løsesum - jf. navnet ransomware - for at få låst det krypterede drevindhold op igen.

Ifølge Peder Wiese, kontorchef for digitalisering i Arbejdsskadestyrelsen, skulle løsesummen udbetales i kryptovalutaen Bitcoin, der blandt andet har den egenskab, at det er svært at spore modtageren af en overførsel. Wiese oplyser, at styrelsen ikke har betalt løsesummen.

Kontorchefen fortæller videre om forløbet:

»Vi bliver opmærksomme på, at der er noget galt med nogle filer på et fællesdrev, mandag formiddag op mod frokost,« siger Peder Wiese.

Herefter kontakter Arbejdsskadestyrelsen Statens IT og Center for Cybersikkerhed. Statens IT melder tilbage, at styrelsen bør begynde at lukke sine systemer ned.

»På det tidspunkt, hvor man konstaterer, at der er et eller andet underligt, er man jo bekymret for, om det kan sprede sig,« siger Peder Wiese.

Han understreger, at de data, som malwaren altså har haft fat i og har krypteret, ikke er personfølsomme. Der skulle således udelukkende være tale om det, Peder Wiese beskriver som 'dokumenter, notater og brevskabeloner', der relaterer sig til det interne og faglige arbejde i styrelsen. Mens de egentlige sager, som styrelsen håndterer, ligger i et helt andet system, der skulle være uberørt af malwaren.

»Der er ikke nogen personfølsomme oplysninger, som overhovedet er berørt af det her. Og i øvrigt ligger vores produktionssystemer ikke i nærheden af de servere, der er berørt af det, så derfor har der ikke været krypteret noget på selve produktionssystemet,« siger Peder Wiese.

I går, tirsdag, kunne brugerne begynde at tage deres klient-maskiner i brug igen. Og i dag, onsdag, skulle de øvrige systemer være på vej op, oplyser Arbejdsskadestyrelsen til Version2.

Kritisk flash-sårbarhed blev patched i sidste uge

Men hvad var det egentlig for en Flash-sårbarhed, der tilsyneladende fik styrelsens it til at gå i sort? Et oplagt kandidat vil være den sårbarhed, som Adobe 23. juni - altså i sidste uge - udsendte en kritisk opdatering til. Sårbarheden har benævnelsen CVE-2015-3113.

Sårbarheden blev ifølge en skrivelse fra Adobe på det tidspunkt allerede brugt aktivt til at kompromittere systemer med. Der var altså tale om en zero-day-sårbarhed - det vil sige en sårbarhed, som bliver aktivt udnyttet, inden producenten har en patch klar.

Og i denne uge kunne flere internationale medier berette om, at netop CVE-2015-3113 var blevet brugt til at installere ransomware-softwaren Cryptowall på sårbare maskiner.

Sårbarheden kan bevirke, at når der bliver afviklet Flash-indhold på brugerens maskine - eksempelvis når han eller hun besøger en hjemmeside med ondsindet indhold - så kan maskinen blive kompromitteret. Hvorvidt det er den sårbarhed, der er årsagen til, at Arbejdsskadestyrelsen har ligget it-mæssigt underdrejet, er svært at få svar på.

For de nærmere tekniske detaljer henviser Peder Wiese til Statens It, der håndterer it-systemerne for 10.000 brugere i den offentlige sektor.

Søren Ulrich Vulff fra Statens It ønsker ikke at gå i detaljer med, hvilken konkret Flash-sårbarhed, ransomwaren ser ud til at have udnyttet for at kompromittere styrelsens it.

»Vi ved godt, hvad det er for noget; vi ønsker sådan set ikke at udtale os så meget om teknikken i det.«

Patcher i løbet af 48 timer

Hvis det er denne CryptoWall, som flere medier har skrevet om, så er en sårbarhed, som Adobe har patched i sidste uge, blevet brugt.

»Ja. Og der havde vi også patched lige umiddelbart efter, men muligvis for sent. Vi prøver at patche disse ting inden for 48 timer i forhold til, hvornår de bliver frigivet. Det er vores målsætning. Og det lykkes vi meget godt med. Vi patcher jo flere gange om ugen i forhold til de huller, der er i kommerciel software,« siger Søren Ulrich Vulff og tilføjer:

»Vi prøver at følge med, og det gør vi også rimeligt godt. Men vi kan ikke helt gardere os mod, at der er et tidsrum mellem noget, der lukker hullet, og så til det er ude på vores mange brugeres pc'er.«

Noget tyder på, I ikke har været hurtige nok til at patche jeres brugeres software?

»Det ved jeg ikke, om du kan udlede af det, det tror jeg ikke, du kan.«

Så I mener ikke, I kan gøre noget anderledes, så sådan en situation ikke opstår?

»Som jeg forklarede, så er der et tidsrum, fra en patch bliver frigivet fra producenten, til det bliver rullet ud til 10.000 brugere. Det må man have respekt for - at der er et lille tidsrum dér, som det kan være sket i.«

Arbejdsskadestyrelsen opdager mandag formiddag, at der er noget galt. Men er malwaren kommet ind før det?

»Det er ikke er sammenfaldende med den 28. Der er noget, der er kommet ind før.«

Har I overvejet at ændre noget i jeres opdateringsprocedure i lyset af sådan noget her?

»Vi har en opdateringsprocedure, hvor vi patcher inden for 48 timer, det er egentlig gået meget godt med det. Så det agter vi sådan set at fortsætte med. Man kan så spørge, om det kan gå hurtigere. Det er meget svært at gøre det på under 48 timer.«

48 timer lyder af lang tid, når vi taler zero-day-sårbarheder i udbredt software som Flash.

»Selvfølgelig vil vi kigge på, om vi kan gøre noget på Flash-siden. Vi overvejer sådan set også, om vi kan slå det fra og bortfiltrere Flash-trafik fra vores firewalls. Det er åbenbart meget usikkert. Det er hele tiden et kapløb i forhold til nogen, der finder huller i Flash.«

Hvor mange benytter det blandt jeres 10.000 brugere?

»Det ved jeg faktisk ikke,« siger Søren Ulrich Vulff og tilføjer:

»Vi vil se, om vi kan indkapsle problemstillingen i forhold til Flash. Om vi kan gøre det endnu hurtigere eventuelt.«

Ved I, der ikke er andre blandt jeres 10.000 brugere, der har været udsat for denne sårbarhed?

»Ja, det ved vi. Vi har scannet alt.«

Kan du sige, hvilken hjemmeside der har spredt malwaren?

»Nej. Vi ved ikke, hvilke sider folk besøger.«

»Generelt opfordrer vi brugere til at omgå hjemmesider med meget Flash på med omtanke og ikke få klikket på noget. Men hvis man bevæger musen hen over, så bliver der jo aktiveret et eller andet.«

Kan det hele komme op igen via backup?

»Ja, det regner vi bestemt med. Det er vi igang med i samarbejde med Arbejdsskadestyrelsen, så vi får det op at køre igen. De er oppe at køre igen på en masse af det, de har. Vi håber meget, de er tilbage på normal drift i morgen (i dag, red.). Og pc'erne er udskiftet hos de to brugere.«

Selvom der kører anti-virus-software på maskinerne hos Arbejdsskadestyrelsen, har det altså ikke forhindret malware-angrebet. Det får dog ikke Statens It, der også står for den del, til at overveje en ny leverandør.

»Vi har lige skiftet leverandør. Staten har valgt at bruge Symantec Endpoint Protection. Det er implementeret, og det er det, vi kører på. Det tror jeg i øvrigt er et udmærket produkt.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Clemmensen

Smid flash ud fra samtlige computere, det er alligevel sjældent det benyttes til andet end irriterende reklamer og elendig video streaming.

Har ikke indtrykker af at mange enterprise eller offentlige systemer kræver at flash er installeret. Det kan selvfølgelig også være at jeg ikke har rendt ind i dem.

Edit: Nå, ignorer ovenstående (se Hennings svar ovenfor, arbejdsskadestyrelsen benytter flash >_<).

  • 5
  • 0
Brian Hansen

No script" bliver nok lidt svært for dem, når nu Arbejdsskadestyrelsens egne systemer til brug for borgere og andre myndigheder/interessenter er lavet i... ja, du gættede det: Flash.

https://sesag.ask.dk/sesag/

No var det en specifik addon til f.eks. Firefox og Chrome jeg refererede til, ikke at de ikke skal afvikle scripts overhovedet :) Så laver man en whitelist over sider der må køre JavaScript, Flash, osv. og resten bliver nægtet.

  • 7
  • 0
Henning Rasmussen

Du har naturligvis ret i at man kan komme langt med NOSCRIPT. Eller de mere centraliserede muligheder.

Jeg tænker bare, at hvis man kan finde på at lave (brugerfladen på) et stort offentligt system i Flash, så er sandsynligheden for at man overhovedet tænker sikkerhed, eller for den sags skyld platformsuafhængighed, forsvindende lille.

Min første reaktion da jeg så det var: hvis fætter på 16 har siddet i mors kælder og lavet det fine system? :)

  • 10
  • 0
Thor Petersen

F.eks. web applikationen Remedy fra BMC benytter Flash. Den benyttes af rigtig mange store virsomheder til håndtering af support. Kender også andre enterprise applikationer som benytter Flash f.eks. Parexel Insight for Viewing (til farmaceutiske virksomheder).

Dermed blive det lidt kompliceret helt at undvære Flash for mange lige nu selv om det klart ville være bedst (sikrest).

  • 1
  • 1
Jan Gronemann

Du kan trygt blokere Flash i Remedy—I hvert fald i den udgave jeg har haft brugt har det været misbrug af Flash til at lave små rammer og pjat af den støbning.

I øvrigt er det da et lidt tyndt grundlag—»Det tror vi, det er det mest sandsynlige«

Med andre ord, de ved ikke hvad det var, så de har ikke en kinamands chance for at sikre sig mod gengangere.

  • 1
  • 0
Log ind eller Opret konto for at kommentere