背景

根据Z-Cert.nl年度报告，医疗行业的勒索软件攻击是我们面临的最大威胁。报告指出（第16页），相比个体诊所或专业机构，医疗供应商更常成为攻击目标。

一个可能的解释是：入侵供应商的影响更大，因为他们可能同时为多个客户提供服务。荷兰基础医疗领域的主要供应商正是那些构建电子健康记录（EHR）系统的公司。他们存储着最机密的信息，其系统往往是需要支持大量集成功能的复杂应用程序。

今天我们将尝试在其中一个系统中寻找漏洞，以上传我们的可执行文件（模拟病毒）。这个攻击向量可能引起勒索软件组织的兴趣，因为他们希望在存储敏感数据的环境中运行代码。他们利用此类漏洞获取系统远程访问权限，加密文件以便后续对受害者进行勒索。

协调漏洞披露政策

本次涉及的供应商（Bricks Huisarts Tetra）拥有协调漏洞披露政策，这非常棒！参见：

强烈建议发布此类协调漏洞披露政策；它为发现漏洞后的处理流程提供了明确指导，降低了道德黑客帮助解决问题的风险。

向医疗提供商发送恶意可执行文件的最快方式是使用电子邮件。遗憾的是，医疗行业仍在使用此媒介接收患者信息。

“皮肤上有红点？请发邮件给我们一张照片。” — 医疗现状

但是，当双击文件bigredspot1.jpg.exe时，谁受过培训能识别其恶意性？归根结底，我们擅长检测病毒感染引起的红点，却不擅长检测含有病毒恶意文件。

幸运的是，我们有一些应用程序可以安全地与基础医疗提供商互动。Bricks Huisarts就是其中之一，登录后您可以向医生提问并在需要时附加文件（图片）。但如果附加的文件是恶意可执行文件呢？接收我们可执行文件的系统是否会处理它，并在医生使用的应用程序中显示？

以下是医生接收使用门户应用程序的客户问题时所使用的仪表板：

请注意上方的"ClickYesSetup.exe"。它是电子咨询的附件文件。

如您所见，作为概念验证，附加了一个ClickYesSetup.exe文件。这可以是任何可执行文件，也包括勒索软件组的有效载荷。如果我们点击该文件，系统会愉快地运行这个可执行文件。

点击后，它开始运行上传的可执行文件。

是时候报告了。

Tetra系统存在漏洞，允许患者将可执行文件上传到EHR系统。当医疗提供商在EHR系统内双击恶意文件时，就会产生风险。

Tetra迅速修补了该漏洞并发布了新版本。这是一个完美的负责任披露范例！

有人可能认为，医生有责任不打开可能导致代码执行的文件。

这同样适用于电子邮件——不要打开奇怪的附件。归根结底，我们最大的挑战是用户双击链接和文件。风险意识非常重要。

一个可能的修复方法是检查文件的扩展名和实际内容是否与给定的扩展名匹配。将该扩展名与白名单匹配（仅接受一些常规图像文件格式，如JPG和PNG）。如果不匹配，直接拒绝文件上传。

请记住，每个人都会犯错；重要的是你处理错误的方式。透明即是信任。

他们支持我的道德研究，努力让医疗供应商更加安全。感谢他们，我能够分享这个故事，让我们都能从中学习。这是强大领导力的一个很好的例子。

该行业的其他公司呢？他们是否也具有这种透明度水平？如果没有，他们需要什么才能达到那种成熟度？