Alles wat organisaties moeten weten over de Microsoft Exchange hack

5 min lezen
De Nederlandse Autoriteit Persoonsgegevens (AP) heeft de afgelopen weken meer dan 75 meldingen gekregen van datalekken bij organisaties die Microsoft Exchange Server gebruiken om e-mail te ontvangen en versturen.

De Nederlandse Autoriteit Persoonsgegevens (AP) heeft de afgelopen weken meer dan 75 meldingen gekregen van datalekken bij organisaties die Microsoft Exchange Server gebruiken om e-mail te ontvangen en versturen.

De afgelopen weken was er flinke paniek bij bedrijven die gebruik maken van Microsoft Exchange Server. Een groep waarschijnlijk Chinese cyberaanvallers, die door Microsoft de ‘Hafnium-groep’ wordt genoemd, misbruikte vier kwetsbaarheden in het server-netwerk. Naar schatting zijn er maar liefst honderdduizenden organisaties getroffen zijn door de Microsoft Exchange-hack.

Dit artikel werd tevens gepubliceerd op WinmagPro en ITProPortal.

Begin maart adviseerde Microsoft alle klanten dan ook met klem hun systemen onmiddellijk bij te werken met noodpatches. Wat zijn de risico’s van deze hack, en wat kunnen bedrijven doen om hun systemen en mail veilig te houden?

Wat is de Chinese Hafnium-groep en hoe gaan ze te werk?

Volgens Microsoft is de Hafnium-groep in China verantwoordelijk voor noodlottige hack. Zij misbruikten de vier zero-day kwetsbaarheden die in Microsoft Exchange Server zijn ontdekt. Tom Burt, vicepresident Customer Security & Trust bij Microsoft, melde op de site van Microsoft: "De aanvallen zijn uitgevoerd in drie stappen. In de eerste stap kreeg de aanvaller toegang tot een Exchange Server met gestolen wachtwoorden, of hij misbruikte het mogelijke lek om zich voor te doen als iemand die normaal gesproken legitiem toegang heeft tot het netwerk. In de tweede stap werd een zogenaamde webshell gecreëerd om de gecompromitteerde server op afstand te besturen. In de derde stap werd die externe toegang vanaf privéservers in de VS gebruikt om gegevens uit het netwerk van een organisatie te stelen."

Burt waarschuwt: "We hebben weliswaar snel een update voor de Hafnium-aanvallen beschikbaar gesteld, maar we weten dat staatshackers en andere criminele groepen snel in actie komen om ongepatchte systemen te misbruiken. De beste bescherming tegen deze aanval is het installeren van de nu beschikbare patches."

Waarom deze vier zero-day kwetsbaarheden belangrijk zijn

Microsoft heeft details vrijgegeven over de onderstaande vier specifieke kwetsbaarheden en hun mogelijke impact. 

  • CVE-2021-26855            Server-Side Request Forgery (SSRF)       
  • CVE-2021-26857            Insecure Deserialization
  • CVE-2021-26858            Arbitrary File Write      
  • CVE-2021-27065            Arbitrary File Write

Deze vier kwetsbaarheden vormen samen een perfecte combinatie voor hackers om systemen aan te vallen. De hackers richtten zich aanvankelijk op bedrijven in de VS, maar dit had uiteindelijk ook gevolgen voor klanten over de hele wereld. Dus ook in Nederland. Daarom spoorde de Nederlandse overheid Microsoft klanten aan om de vereiste updates zo snel mogelijk te installeren.

Hoewel Microsoft maatregelen nam om de problemen op te lossen, is er al aanzienlijke schade aangericht. De ellende wordt nog groter omdat niet alle klanten hun systemen even snel patchen. Deze gefaseerde aanpak heeft als gevolg dat sommige systemen kwetsbaar blijven doordat hackers zich specifiek richten op organisaties die de patches nog niet hebben geïmplementeerd. Bovendien kunnen bedrijven met verouderde versies van Exchange geen patches meer installeren, wat de problemen nog vergroot.

Organisaties moeten dit incident serieus nemen

De Nederlandse Autoriteit Persoonsgegevens (AP) heeft de afgelopen weken meer dan 75 meldingen gekregen van datalekken bij organisaties die Microsoft Exchange Server gebruiken om e-mail te ontvangen en versturen. Het Nationaal Cyber Security Centrum (NCSC) schat dat er tenminste 1.200 Nederlandse servers met Microsoft Exchange zijn geïnfecteerd. De autoriteit voor gegevensbescherming vreest daarom dat er nog veel meer problemen zijn dan alleen de 75 binnengekomen datalekmeldingen. De AP roept organisaties met klem op hun systemen te controleren - én melding te maken.

Hier zijn enkele redenen waarom deze inbreuk belangrijk is en de gevolgen ingrijpend zijn:  

  • De aanval door de Hafnium-groep werd niet onmiddellijk opgemerkt en is nog niet voorbij, want veel organisaties hebben nog geen updates geïnstalleerd.
  • Gecompromitteerde systemen worden misschien niet eens als zodanig herkend, waardoor verdere (en mogelijk kostbare) beperkende maatregelen nodig zijn om alle dreigingen weg te nemen.
  • Dit is al de achtste keer in het afgelopen jaar dat Microsoft staatshackers ervan beschuldigt instellingen aan te vallen. Echter, deze specifieke aanval is bijzonder omvangrijk en geavanceerd. Dat is reden tot bezorgdheid en zou een voorproefje kunnen zijn van soortgelijke dreigingen.
  • De diefstal van intellectuele eigendom en e-mails kan voor een bedrijf grote gevolgen hebben en langdurige schade veroorzaken.

Wat de uiteindelijke gevolgen zijn en schade is van deze hack weten we nog niet, maar wat al wel duidelijk is dat dit soort zeer geavanceerde aanvallen in de toekomst vaker voor zullen komen. Nieuwe zero-day kwetsbaarheden zullen blijven opduiken, ook al worden er beveiligingsmaatregelen genomen om die aanvallen voor te blijven.

En belangrijk: na het installeren van de noodpatches van Microsoft, moeten organisaties óók hun systemen onder de loep nemen om te kijken hoe hun e-mailgegevens in de toekomst beter beschermd kunnen worden.

Organisaties die denken dat slachtoffer zijn geworden van deze aanval, moeten het volgende doen: 

  1. Het systeem grondig controleren en zorgen voor afdoende back-ups.
  2. Wachtwoorden en gebruikersgegevens opnieuw instellen.
  3. Aangifte doen van het incident bij justitie en hun nationale gegevensbeschermingsautoriteiten.
  4. Hun systeem indien nodig herstellen of herinrichten.
  5. Op zoek gaan naar tools die deze risico's in de toekomst kunnen verminderen, zoals oplossingen voor de beveiliging van e-mailgegevens.

Op 12 maart rapporteerde Microsoft nog dat er 82.000 servers waren die nog geen patch hebben gekregen. Wat ons betreft een zeer zorgelijk aantal. Dit betekent tevens dat we waarschijnlijk vooralsnog niet van dit kwaadaardige kwartet af zijn.

Hoe oplossingen voor de bescherming van e-mailgegevens zorgen voor betere beveiliging 

Als je de beveiliging van e-mailgegevens wil verbeteren zijn er een paar belangrijke aandachtspunten.

Om te beginnen versleutelen veel e-mailoplossingen op de eigen locatie opgeslagen gegevens, omdat gedacht wordt dat toch niemand toegang heeft tot data die op het eigen systeem is opgeslagen. Maar, zoals blijkt uit dit Microsoft incident, is toegang tot de server al genoeg om gevoelige e-mailgegevens in gevaar te brengen. Maar ook als organisaties gegevens wel versleutelen, voorkomt dat alleen problemen als iemand bijvoorbeeld een harde schijf zou stelen. Versleutelen op zich is niet voldoende, want het probleem met versleutelen is niet het versleutelen zelf maar het sleutelbeheer: wie heeft toegang tot de toegangssleutels en waar worden ze opgeslagen?

Op de meeste e-mailservers zijn toegangssleutels beschikbaar binnen dezelfde infrastructuur. Bijvoorbeeld als er eerst een wachtwoord wordt gemaild, en vervolgens de versleutelde e-mail waar het wachtwoord voor bedoeld is. Dan worden ze wel apart verstuurd, maar als de hacker toegang heeft tot de inbox, heeft hij toegang tot alle (ook de versleutelde) e-mails. Dat creëert een extra risicolaag. Want als niet alleen de server, maar ook de omliggende infrastructuur gecompromitteerd wordt, zoals het geval was bij Microsoft, lopen ook de gegevens van de organisatie gevaar. Zelfs als de informatie versleuteld was. De veiligste manier om e-mailgegevens te beschermen is dan ook het uitbreiden van je e-mailgateway met gespecialiseerde oplossingen voor de bescherming van e-mailgegevens, zoals Gartner ze noemt. Die zorgen ervoor dat de toegangssleutels niet binnen dezelfde infrastructuur beschikbaar zijn als de gegevens.

Gestimuleerd door de AVG gebruiken organisaties steeds vaker technologie om digitale communicatie zoals e-mails of bestanden veilig te verzenden. Hiermee worden datalekken voorkomen en opgeslagen data beschermd. Dit soort oplossingen zou de Microsoft Exchange Server-hack natuurlijk niet voorkomen hebben. Maar het beschermen van gevoelige informatie door een verbeterde beveiligingslaag voor e-mailgegevens in te zetten, verlaagt het risico flink.

Cyberaanvallen zijn in afgelopen jaar door de pandemie enorm toegenomen. In de media zien we het ene na het andere securityprobleem de kop opsteken. Na SolarWinds is dit (en het recente lek bij Facebook) een van de grootste cybersecurityproblemen waarmee we het afgelopen half jaar te maken hebben gehad.



Meer weten over Zivver? Download de 
Zivver Mail Product Sheet of het whitepaper ‘De combinatie van Office 365 en Zivver beperkt datalekken, verbetert compliance en bespaart kosten


 

 

Geschreven door

Kevin Lamers

Gepubliceerd op april 8, 2021

Laatst gewijzigd op april 12, 2021