Exchange snel patchen sluit hack niet uit
Het lek in Exchange waarvoor Microsoft sinds vorige week waarschuwt treft ook Belgische bedrijven. Security-experts waarschuwen dat patchen alleen niet volstaat. Er is een reële kans dat er al voor de patch werd ingebroken.
Vorige week waarschuwde Microsoft voor een zero day kwetsbaarheid in haar e-mail-software Exchange. Er kwamen patches uit en beheerders werden aangemaand om deze zo snel mogelijk te installeren. Kort nadien raakte bekend dat overheidshackers, vermoedelijk uit China, het lek actief misbruikten. ESET waarschuwde daarbij voor enkele honderden doelwitten, waaronder minstens één Belgisch bedrijf.
Maar een kleine week na de feiten lijkt de omvang veel groter en vermoedelijk zijn er veel meer Belgische organisaties slachtoffer geworden. Bovendien heeft nog lang niet elke server de patches geïnstalleerd.
Ingebroken voor de patch verscheen
Er draaien in ons land zo’n 2.300 Exchange servers, hoeveel daarvan effectief up-to-date zijn valt moeilijk te bepalen. In Nederland schat het Nationaal Cyber Security Centrum dat meer dan veertig procent van de Exchange-servers nog niet is gepatcht.
Het Belgische CERT heeft geen zicht op de totale omvang in ons land, maar waarschuwt zelf al sinds vorige week voor het risico. De organisatie heeft weet van minstens drie Belgische gecompromitteerde bedrijven, maar benadrukt dat in praktijk mogelijk veel meer zijn. De organisatie volgt de situatie nauw op en houdt het haar advies rond Exchange up-to-date met uitleg naar de stappen die serverbeheerders moeten ondernemen.
‘Er komen regelmatig nieuwe updates uit die snel geïnstalleerd moeten worden. Het is eveneens belangrijk het systeem na een update te herstarten (reboot) en alle systemen regelmatig te controleren op indicaties van compromittering.’ Aldus Miguel De Bruycker, directeur van het Centrum voor Cybersecurity België (CCB).
Ook beveiligingsbedrijf Shift Left Security heeft weet van minstens één Belgische KMO die werd gehackt, zegt Erwin Geirnaert, Chief Hacking Officer bij Shift Left Security. ‘Het gaat om een grote Vlaamse KMO,’ zonder het bedrijf bij naam te noemen. Maar zelfs wie meteen de updates uitvoerde, kan te laat zijn want het probleem is pas ontdekt na de eerste inbreuken.
‘Er waren indicatoren van een inbreuk en in de dagen voor de patch verscheen was er een breach,’ zegt Geirnaert aan Data News. Dat hacken gebeurt in fases ‘Er wordt een automatische exploit uitgevoerd. De volgende stap is de webshell activeren voor een bijkomende download van twee trojans. Dat is bij onze klant niet gebeurt. Maar dat de hacks enkel zouden gebeuren bij Amerikaanse bedrijven, daar geloof ik weinig van.’
Geirnaert waarschuwt dat het lek door Microsoft net is ontdekt omdat er aanvallen aan de gang waren. Veel bedrijven zijn dus al gecompromitteerd nog voor ze hun systemen konden updaten. ‘Zo’n aanval kan onder meer gebruikt worden om vervolgens ransomware uit te rollen in een bedrijf.’
Patchen en scannen
Wie zeker wil zijn moet dus niet alleen de patches installeren, maar ook de Safety Scanner van Microsoft laten draaien en HealthChecker, een script dat Microsoft ter beschikking heeft gesteld om abnormaalheden te detecteren. Wie alle maatregelen en adviezen van Microsoft wil nalezen, kan terecht bij deze (intussen bijgewerkte) blogpost van Microsoft over het probleem.
Fout opgemerkt of meer nieuws? Meld het hier