08/03/2021

Een paar dagen geleden rolde Microsoft een security patch uit voor zero-day aanvallen op de Exchange Server. Servers werden gehackt om data te stelen van honderdduizenden organisaties wereldwijd, waaronder politieafdelingen, ziekenhuizen, lokale overheden, banken, nonprofits en telecomproviders.

Chinese overheid viseert KMO’s

De Exchange Servers worden aangevallen door een groep die Hafnium heet en wordt gesponsord door de Chinese overheid. Daarbij lijkt het duidelijk dat de groep zijn zinnen heeft gezet op kleine en middelgrote ondernemingen.

Een aanval in drie stappen:

1. Hackers infiltreren via een gestolen wachtwoord of door zero-day kwetsbaarheden te gebruiken en vermommen zich zo via een ‘gekend account’.
2. Via een web shell nemen ze controle over de Exchange Server
3. Hackers exporteren interne gegevens

Wat is een zero-day aanval?

Dit is een cyberaanval die plaatsvindt op hetzelfde moment als waarop er een lek wordt ontdekt in de software. Dus voordat de ontwikkelaar een oplossing beschikbaar kan stellen, wordt de software reeds misbruikt.

Wanneer een beveiligingsrisico binnen een programma ontdekt wordt, wordt dit gemeld aan de leverancier. Deze ontwikkelt dan zo snel mogelijk een beveiligingspatch om het probleem te verhelpen. Daarbij wordt het issue vaak aan gebruikers wereldwijd bekendgemaakt, zodat ze de nodige voorzorgen kunnen nemen. Maar soms horen hackers echter als eerste over het probleem en maken ze er dan ook snel misbruik van. Wanneer dit gebeurt, is er weinig bescherming tegen een aanval omdat het probleem binnen de software zo nieuw is.

Patch geïnstalleerd voor onze klanten

Er werd door Microsoft meteen een patch beschikbaar gesteld om de lekken op te lossen. Ons Alfa team heeft dit dan uiteraard ook meteen geïmplementeerd voor onze Microsoft Exchange klanten.

Geen klant? Wat kunt u doen?

Daarbij adviseren we aan iedereen die een zelf gehoste Microsoft Exchange gebruikt, de security patch zo snel mogelijk te installeren. On-premises en hosted Exchange servers versie 2013, 2016 en 2019 zijn kwetsbaar en moeten meteen een update krijgen.

Om dit uit te voeren, is het belangrijk dat u ingelogd bent als beheerder. Anders worden bepaalde bestanden mogelijk niet goed geïnstalleerd. Lukt het niet om meteen een update te voorzien? Dan zijn er een aantal andere acties die u kunt ondernemen. Microsoft schrijft in zijn advies dat voor de initiële aanval een onvertrouwde verbinding moet worden gemaakt met Exchange server port 443. U kunt u hier tegen beschermen door onbetrouwbare verbindingen te beperken of door een VPN verbinding op te zetten waarmee u de Exchange server afscheidt voor externe toegang. 

Realiseer u wel dat het blokkeren van externe toegang enkel de eerste stap van het proces tegenhoudt. Als hackers al toegang hebben, kunnen ze hun aanval alsnog voortzetten.

Nog steeds aanvallen

We kunnen ervan uitgaan dat vrijwel iedereen die Outlook Web Acces gebruikt en geen patch heeft geïnstalleerd, aangetast is. Op dit moment worden nog steeds duizenden servers, verspreid over heel de wereld, gehackt, want de groep lijkt de aanvallen steeds meer op te schalen om nog zoveel mogelijk servers te hacken voordat ze de patch installeren. 

Health check

Om te checken of je kwetsbaar bent voor de Hafnium aanvallen kunt u gebruik maken van dit script dat het Microsoft team heeft gepubliceerd op GitHub. Hulp nodig hierbij? Contacteer ons.

Microsoft 365 als oplossing

Gebruikt u Microsoft 365 in plaats van Exchange? Gelukkig! Want dan loopt u dit risico niet. Is dit uw aanwijzing om over te stappen naar de toekomstgerichte Microsoft 365 oplossing? Dan zou dat een goede keuze zijn en begeleiden we u met plezier!