Kwetsbaarheid

MS exchange kwetsbaarheid: wat is er precies gebeurd?

Robin Remmerswaal
Customer Success Manager

Een paar weken geleden ontstond er grote paniek toen opeens de schappen met voorverpakte kaas bij de Albert Heijn leeg waren. Dit bleek geen foutje in de voorraadbeheer, maar het gevolg van een cyberaanval bij een logistieke partner van de supermarkt. Inmiddels is deze aanval omgedoopt tot de ‘kaashack’. De leverancier bleek gehackt te zijn nadat aanvallers misbruik hadden gemaakt van kwetsbaarheden in Microsoft Exchange.

Lek in beveiliging van Microsoft

Toen deze kwetsbaarheden begin maart aan het licht kwamen, werd hier veel over gesproken. De impact die de misbruik van dit lek kan hebben, werd namelijk als ‘high’ geclassificeerd door het Nationaal Cyber Security Center. Dat in combinatie met de hoge kans dat het dit daadwerkelijk misbruikt zou worden door criminelen, maakte het een serieuze dreiging voor organisaties. Wat is er precies gebeurd?

Misbruikt sinds januari

Microsoft Exchange is een e-mail-, agenda- en samenwerkingsoplossing van Microsoft. Het programma wordt wereldwijd gebruikt door grote ondernemingen, maar ook in het mkb wordt er veel mee gewerkt. Zonder dat Microsoft het wist bevatte de software vier ernstige kwetsbaarheden. Deze zorgde voor een lek in de beveiliging van het programma. De Chinese hackersgroepering Hafnium misbruikte dit lek al sinds 6 januari 2021 en kon daardoor binnendringen bij specifieke bedrijven en overheidsinstellingen. Tal van gevoelige e-mails en andere gegevens zijn hierbij gestolen. Ook werden servers overgenomen en werd malware geplaatst.

Update

Pas twee maanden later, op dinsdag 2 maart 2021, publiceerde Microsoft een update om de kwetsbaarheden te verhelpen. Zodra een update gepubliceerd wordt, is het voor iedereen duidelijk welke kwetsbaarheden de oude versie bevat. Dit betekent dat niet langer alleen Hafnium op de hoogte was van het lek, maar ook andere criminelen nu misbruik konden maken van deze informatie. Dit werd versterkt doordat er snel na de update, scripts op het internet verschenen die aanvallers in staat stelden de kwetsbaarheid te scannen en uit te buiten. De update van Microsoft moest door gebruikers zelf geïnstalleerd worden, wat criminelen extra tijd gaf om de kwetsbaarheden ook daadwerkelijk te misbruiken, zoals het geval was bij de ‘kaashack’.

Hoe EYE helpt

Hoewel cybersecurity altijd een kat- en muisspel blijft, weten we onze klanten goed te beveiligen tegen dit soort aanvallen. Onze monitoringsoftware detecteert het direct als er verdachte activiteiten plaatsvinden op jouw systemen. We kunnen daardoor direct ingrijpen. Toen de Microsoft Exchange kwetsbaarheden begin maart massaal werden misbruikt, konden we de aanvallen bij onze klanten blokkeren en hen wijzen op het belang van snel updaten. Indien gewenst hebben we de update zelf toegepast via onze software.

Incident response

In de eerst weken van maart hebben we ook een groot aantal incident response opdrachten uitgevoerd bij bedrijven die slachtoffer waren van dit lek. Bij sommige bedrijven bleek dat het misbruiken van de kwetsbaarheden was mislukt door specifieke configuraties. Andere bedrijven maakten gebruik van een standaard anti-virusoplossing die vaak enkele dagen later de backdoors begonnen te herkennen en op te ruimen. Soms nog voordat er echt misbruik had plaatsgevonden.

Helaas waren er ook bedrijven zoals de logistieke partner van de Albert Heijn, waarbij pas weken later werd toegeslagen. De backdoors die begin maart waren geplaatst, zijn toen niet opgemerkt. Daardoor hadden aanvallers alle tijd om de infrastructuur van het bedrijf te onderzoeken en uiteindelijk alle back-ups te verwijderen en data te versleutelen. Een klassieke ransomware aanval, waarbij er voor een bedrijf soms niets anders op zit dan het losgeld betalen aan de criminelen om hun data terug te krijgen.

Onbezorgd ondernemen?

Dit soort aanvallen laten het belang van een goede beveiligingsstrategie zien. Met EYE Cyber Guard ben je beveiligd tegen cyberaanvallen en versterken we samen de digitale muur om je onderneming. Vraag een gratis en vrijblijvend adviesgesprek aan voor meer informatie over ons alles-in-één pakket.

©2021 by EYE

Our specialists ♥ tech and use their skills to protect businesses across Europe.