Op dit moment zijn er minimaal zo’n 1.200 servers in ons land waarop de update voor een ernstige kwetsbaarheid in Microsoft Exchange nog niet is geïnstalleerd. Als gevolg daardoor is er hoogstwaarschijnlijk data gestolen bij deze organisaties, malware geplaatst en zijn er achterdeurtjes ingebouwd. Via Microsoft Exchange kunnen cybercriminelen bovendien ook in andere systemen schade aanrichten.
Dat schrijft het Nationaal Cyber Security Centrum (NCSC) in een update.
Microsoft rolt patch uit om zeroday exploits in Microsoft Exchange Server te verhelpen
Afgelopen week maakte Microsoft bekend dat Microsoft Exchange Server vier zeroday exploits bevatte. Een zeroday is een beveiligingslek in een programma die sinds de lancering ervan bestaat, maar niet bekend is bij de ontwikkelaars. Hackers en cybercriminelen kunnen hierdoor ongemerkt binnen slippen en backdoors, ransomware of andere malware installeren om flink wat schade te verrichten.
Microsoft Exchange wordt volop gebruikt door het bedrijfsleven om e-mails mee te ontvangen en versturen. De beveiligingslekken en de gevolgen ervan waren dusdanig ernstig dat het Amerikaanse hard- en softwarebedrijf direct een patch uitrolde. Eerder deze week stelde Microsoft een tool beschikbaar waarmee de zerodays met een paar muisklikken verholpen worden.
Zeroday exploits actief misbruikt in Nederland
Uit berekeningen van Microsoft blijkt dat tienduizenden bedrijven in Europa, Azië en de Verenigde Staten zijn getroffen door de kwetsbaarheden in Microsoft Exchange. Eén van die organisaties is de European Banking Authority (EBA). Met behulp van de exploits wisten hackers de e-mailserver van het bedrijf te infiltreren en persoonlijke en bedrijfsgevoelige data buit te maken die via de e-mail werden verspreid.
Ook in ons land werden de exploits in Microsoft Exchange actief misbruikt. Vorige week berekende het NCSC dat 40 procent van de servers in Nederland nog niet is geüpdatet. Vanwege de hoge kans op misbruik adviseerde de instantie om de update zo snel mogelijk te installeren. Ook raadde het NCSC aan om te controleren of de Exchange-omgeving niet eerder misbruikt is.
Nederland telt nog minimaal 1.200 kwetsbare Exchange-servers
Volgens de laatste berekeningen van het NCSC heeft 90 procent van de bedrijven in ons land de patch voor Microsoft Exchange geïnstalleerd. Dat betekent echter dat op minimaal 1.200 servers in ons land de update nog niet is uitgevoerd. Het NCSC waarschuwt systeembeheerders dat hackers data kunnen stelen, achterdeurtjes inbouwen en malware installeren. Naar eigen zeggen worden er op dit moment al mailboxen aangeboden op de zwarte markt. “Organisaties en bedrijven die nog moeten updaten wordt aangeraden dit zo snel mogelijk te doen en te onderzoeken welke schade is aangericht”, aldus het NCSC.
Ook als bedrijven de patch wel hebben geïnstalleerd, blijft het oppassen geblazen. Volgens het NCSC blijft voor hen ‘de dreiging van digitale aanvallen’ onverminderd groot. “Het NCSC adviseert om geregeld te controleren op nieuwe scripts en deze uit te voeren. Ook als er al eerder scans zijn gedaan. Wees voorbereid op het scenario dat kwaadwillenden e-mails hebben buitgemaakt of de mogelijkheid hebben gecreëerd om een ransomware aanval uit te voeren op systemen.”
‘Chinese staatshackers misbruikten actief zeroday exploits’
Het Microsoft Threat Intelligence Center (MSTIC) constateerde vorige week dat de zerodays actief zijn misbruikt door HAFNIUM. Dat is een groep Chinese staatshackers die buiten China opereert. Dat zou blijken uit de tactieken, procedures en de slachtoffers die ze kozen. Advocatenkantoren, onderwijsinstellingen, politieke denktanks en non-profitorganisaties waren in het verleden geliefde doelwitten van de Chinese hackers. Als ze eenmaal het netwerk zijn binnengedrongen, stelen en delen ze gevoelige bedrijfsinformatie.
Volgens Microsoft gaan de Chinese staatshackers op de volgende wijze te werk. Allereerst dringen ze het netwerk van hun doelwit binnen. Hiervoor misbruiken zij de zeroday exploits in Microsoft Exchange, of maken ze gebruik van gestolen wachtwoorden. Vervolgens zetten ze web shells op de Exchange-server, waarmee ze op afstand de controle over de server kunnen overnemen. Tot slot stelen de daders gevoelige data en installeren ze malware.
