Gaten in de beveiliging van het Microsoft-mailsysteem hebben hackers al toegang gegeven tot tienduizenden organisaties. De Europese bankenautoriteit EBA is het jongste slachtoffer. Hoe dicht je het lek? Het Nationaal Cyber Security Centrum (NCSC) geeft advies.
De EBA meldde zondag dat het mailsysteem platligt omdat hackers toegang hebben gekregen tot persoonlijke gegevens. Het is een van de naar schatting 60.000 organisaties die wereldwijd al aangevallen zijn, meldt persbureau Bloomberg, dat spreekt van ‘een wereldwijde cybersecuritycrisis’. Volgens Microsoft zit er een door de Chinese overheid gesteunde groep hackers achter de aanval. ‘Veel van de aangevallen organisaties zijn mkb-bedrijven.’
Waar zit het probleem?
De problemen draaien om de Microsoft Exchange Server, die wordt gebruikt om e-mails te ontvangen en te verzenden. Exchange servers hebben onder andere de functionaliteit om e-mail, contacten en agenda’s te synchroniseren met verschillende apparaten. Alle ontvangen en verzonden e-mails, bijlagen en e-mailadressen staan opgeslagen op de server.
Veel bedrijven maken gebruik van zogeheten on-premises- en eigenbeheerversies van Exchange. ‘Mailservers zijn vaak ook via het internet te benaderen zodat medewerkers overal hun e-mail kunnen lezen en beantwoorden. Exchange Servers die toegankelijk zijn via het internet, zijn ook door kwaadwillenden makkelijk te vinden’, aldus het NCSC.
Er zijn vier kwetsbaarheden bekend die gezamenlijk misbruikt kunnen worden, waardoor hackers alle e-mailcommunicatie adreslijsten kunnen inzien, kopiëren en verzenden naar een extern adres voor verder misbruik. ‘Door het installeren van deze malware verkrijgen aanvallers langdurige externe toegang tot de Exchange-omgeving, ook als nadien de uitgebrachte patches zijn geïnstalleerd. Deze aanwezigheid kan misbruikt worden om uw netwerk verder te compromitteren.’
Zo snel mogelijk patches installeren
Het NCSC adviseert zo snel mogelijk de door Microsoft uitgebrachte patches te installeren. Er zijn beveiligingsupdates voor Exchange Server 2013, 2016 en 2019. ‘Op de website van Microsoft is hierover meer informatie te vinden. Let hierbij vooral op de aangeraden correcte wijze van het installeren van de updates. Microsoft geeft aan dat het handmatig installeren van de updates, zonder beheerdersrechten, mogelijk problemen kan veroorzaken. Neem contact op met uw IT-dienstverlener als de Exchange Server niet in eigen beheer is. Verzoek de IT-dienstverlener de updates zo snel mogelijk te installeren.’
Alle activiteiten van het afgelopen halfjaar monitoren
Ook dan blijft het raadzaam de server te controleren op eventueel misbruik aan de hand van Microsoft-scripts. ‘Advies is om in ieder geval activiteiten na 1 september 2020 te monitoren. Naast Microsoft heeft ook CERT-LV scripts gepubliceerd om mogelijk misbruik te detecteren.’ Aandacht vereisen onder meer onverwachte benadering van buitenlandse en/of onbekende IP-adressen en onverwachte benadering op tijdstippen buiten reguliere werktijden. Bij mogelijk misbruik adviseert het NCSC systeemcontrole, adequate backups en resetten van wachtwoorden en gebruikersgegevens.
Geef een reactie