Exchange-servers Microsoft kwetsbaar door geheime backdoor

Man met smartphone aan zijn oor en laptop op zijn schoot

Door een geheime achterdeur zijn mailservers van Microsoft kwetsbaar voor een scala aan kwaadaardige activiteiten. Deze backdoor, ook wel SessionManager genoemd, is sinds maart 2021 actief. Wat deze kwetsbaarheid zo gevaarlijk maakt, is dat hij bestand is tegen updates.

Dat schrijft Kaspersky in een analyse.

SessionManager niet te detecteren met antivirusprogramma’s

Onderzoekers van het Russische cybersecuritybedrijf ontdekten SessionManager begin dit jaar. Van het verzamelen en lezen van e-mails tot de volledige controle overnemen van de IT-infrastructuur van slachtoffers: hackers kunnen door deze backdoor allerlei criminele activiteiten ontplooien. Als ze eenmaal toegang hebben tot de IT-omgeving van een bedrijf, kunnen ze allerlei soorten malware binnenhalen en installeren. Slecht geconfigureerde servers liggen hierdoor binnen handbereik.

Wat SessionManager onderscheidt van andere malware, is dat hij over het hoofd wordt gezien door de meeste antivirusprogramma’s. Zodoende is het voor systeembeheerders zeer lastig om deze backdoor te detecteren.

SessionManager bestand tegen updates

Wat de achterdeur bijzonder gevaarlijk maakt, is dat hij niet met een update is te verhelpen. “De SessionManager-backdoor stelt hackers in staat om hardnekkig, updatebestendig en in het grootste geheim toegang te houden tot de IT-infrastructuur van een beoogde organisatie”, zo schrijft Kaspersky. Vanwege overeenkomsten met de OwlProxy variant, denkt het bedrijf dat hackersgroep Gelsemium verantwoordelijk is voor diverse spionagepraktijken via SessionManager.

Beveiligingsonderzoekers van het Russische bedrijf ontdekten begin 2022 SessionManager. 34 servers van 24 overheidsinstanties, militaire organisaties en NGO’s uit Europa, het Midden-Oosten, Zuid-Azië en Afrika zijn door SessionManager getroffen. Ook gezondheidsinstellingen, oliemaatschappijen en transportbedrijven waren geliefde doelwitten van hackers.

Er is nog steeds geen oplossing: volgens Kaspersky wordt de backdoor nog altijd bij meer dan 90 procent van de getroffen organisaties gebruikt.

Microsoft Exchange Server onder vuur

Volgens Kaspersky wordt deze achterdeur al sinds maart 2021 misbruikt. Dat is in de periode dat Microsoft onder vuur lag vanwege vier zero-day exploits in Exchange Server. Hackers misbruikten deze kwetsbaarheden om vertrouwelijke bedrijfsinformatie en persoonsgegevens te stelen. Tevens installeerden ze een backdoor zodat ze op ieder moment ongemerkt de IT-systemen van hun slachtoffers konden binnendringen.

Tienduizenden bedrijven en organisaties wereldwijd werden het slachtoffer van de zero-day exploits in Microsoft Exchange Server, waaronder tientallen bedrijven in ons land. In mei rolde het Amerikaanse hard- en softwarebedrijf een patch uit voor deze kwetsbaarheden. Een internationale coalitie claimde dat China achter de cyberaanvallen zat. China ontkende iedere betrokkenheid.

Overheidsinstanties waarschuwen voor Kaspersky

Kaspersky is een cybersecuritybedrijf dat door verschillende overheden wordt gewantrouwd. De Duitse inlichtingendienst BSI redeneerde dat een Russisch IT-bedrijf “zelf aanvallen kan uitvoeren, gedwongen worden om tegen zijn wil systemen aan te vallen, of zelf het slachtoffer worden van een cyberoperatie zonder dat hij daarvan op de hoogte is”. Daarom adviseerde ze bedrijven en organisaties zo snel mogelijk afscheid te nemen van beveiligingssoftware van Kaspersky.

De Italiaanse toezichthouder maakt zich zorgen over mogelijke privacyrisico’s voor burgers. Kaspersky moet de helderheid geven over welke informatie ze verzamelt, en of deze data buiten Europa worden opgeslagen of niet. Tot slot moet het tekst en uitleg geven over hoe vaak het bedrijf verzoeken van derden heeft gekregen om informatie over Italiaanse burgers door te geven, en in welke mate daar gehoor aan is gegeven.

De Federal Communications Commission (FCC) gaat zelfs zo ver dat het vermoedt dat Kaspersky een gevaar vormt voor de nationale veiligheid van de VS. FCC-bestuurslid Jessica Rosenworcel spreekt van een “een onaanvaardbaar risico”. Om die reden is de Russische fabrikant op de zogeheten Covered List geplaatst. Dat is een zwarte lijst met buitenlandse bedrijven waarmee het Amerikaanse bedrijfsleven geen zaken mag doen.

Kaspersky ontkent aantijgingen

Kaspersky ontkent dat het banden met het Kremlin heeft. “Kaspersky zal zijn partners en klanten blijven verzekeren van de kwaliteit en integriteit van zijn producten, en blijft bereid om samen te werken met Amerikaanse overheidsinstanties om de zorgen van de FCC en eventuele andere regelgevende instanties weg te nemen”, zei het bedrijf in een statement op de beschuldigingen.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen