image

Duitse overheid houdt rekening met duizenden besmette Exchange-servers

zaterdag 6 maart 2021, 10:56 door Redactie, 17 reacties

Duitsland telt tienduizenden Exchange-servers die zeer waarschijnlijk allemaal al zijn besmet met malware, zo waarschuwt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Zowel kleine als grote organisaties zijn getroffen.

Microsoft kwam afgelopen dinsdag met noodpatches voor vier kwetsbaarheden in Exchange Server 2013, 2016 en 2019 waardoor een aanvaller op afstand toegang tot Exchange-servers en aanwezige e-mailaccounts kan krijgen. De beveiligingslekken werden al voor het uitkomen van de patches aangevallen. Bij deze aanvallen installeren aanvallers ook een webshell zodat ze toegang tot de Exchange-server behouden.

Via zoekmachine Shodan zijn in Duitsland tienduizenden Exchange-servers te vinden. "En er is een grote kans dat ze al besmet zijn met malware. Organisaties van elke omvang zijn getroffen", aldus het BSI, dat is begonnen met het waarschuwen van mogelijk getroffen organisaties.

Microsoft roept organisaties op om de beschikbare beveiligingsupdates meteen te installeren. Voor organisaties die hiervoor meer tijd nodig hebben zijn er verschillende mitigaties mogelijk. Deze mitigaties helpen tegen de nu waargenomen aanvallen, maar bieden geen volledige bescherming tegen al het mogelijke misbruik van de kwetsbaarheden, aldus het techbedrijf. Ook hebben de mitigaties geen effect op al gecompromitteerde Exchange-servers. Microsoft adviseert om de genoemde mitigaties dan ook alleen als een tijdelijke maatregel toe te passen totdat alle servers volledig zijn gepatcht.

Het Nationaal Cyber Security Centrum (NCSC) heeft inmiddels ook meer informatie over de aanvallen en kwetsbaarheden gegeven. De overheidsinstantie maakte eerder al melding dat er ook in Nederland misbruik is aangetroffen. Organisaties worden opgeroepen om hun Exchange-servers op eventuele sporen van aanvallers te controleren. Is er sprake van misbruik dan krijgen organisaties onder andere het advies om een melding bij de Autoriteit Persoonsgegevens te overwegen.

Reacties (17)
06-03-2021, 11:36 door Anoniem
Duitsland telt tienduizenden Exchange-servers die zeer waarschijnlijk allemaal al zijn besmet met malware
Om die reden (d.w.z. hacken van de mailserver via een kwetsbaarheid die er in kan zitten) is email dus nog altijd onveilig,
ondanks dat we tegenwoordig meestal encrypted communicatie met de mailserver hebben.
06-03-2021, 12:30 door walmare
Dit soort ellende krijg je dus als een leverancier van consumenten software zich ook op de enterprise markt denkt te kunnen begeven. Hele volksstammen trappen er in.
06-03-2021, 12:34 door Anoniem
Gelukkig hebben wij hier in Nederland daar geen last van!

"Op dit moment heeft geen van de statelijke actoren de benodigde combinatie van intentie en capaciteit om de nationale veiligheid op de korte termijn (tot twee jaar) te ontwrichten. Ontwikkelingen op middellange en lange termijn geven reden tot zorg", aldus de minister (Grapperhaus) in een beleidsreactie over de aanpak van statelijke dreigingen.

bron: AIVD en MIVD komen met nieuwe brochure over cyberspionage
https://www.security.nl/posting/688882/AIVD+en+MIVD+komen+met+nieuwe+brochure+over+cyberspionage
06-03-2021, 15:30 door Anoniem
Door Anoniem:
Duitsland telt tienduizenden Exchange-servers die zeer waarschijnlijk allemaal al zijn besmet met malware
Om die reden (d.w.z. hacken van de mailserver via een kwetsbaarheid die er in kan zitten) is email dus nog altijd onveilig,
ondanks dat we tegenwoordig meestal encrypted communicatie met de mailserver hebben.


Email word pas onveilig als je zwakheden zoals backdoors aan veilige email-encryptie toepast,
en burgers er toe zet om maar een smartphone te gebruiken die beter te volgen is
zodat een overheid of de big tech-bedrijven beter weten wat jij als burger allemaal uitspookt als alternatief voor email.

The Matrix
06-03-2021, 16:59 door karma4
Door walmare: Dit soort ellende krijg je dus als een leverancier van consumenten software zich ook op de enterprise markt denkt te kunnen begeven. Hele volksstammen trappen er in.
Dat soort ellende krijg je dus als hobbyisten het verschil tussen de enterprise en een zolderkamer hobby niet doorhebben.
06-03-2021, 17:08 door Anoniem
Door karma4:
Door walmare: Dit soort ellende krijg je dus als een leverancier van consumenten software zich ook op de enterprise markt denkt te kunnen begeven. Hele volksstammen trappen er in.
Dat soort ellende krijg je dus als hobbyisten het verschil tussen de enterprise en een zolderkamer hobby niet doorhebben.

Je krijgt van mij een dikke pluim als het jou lukt dit inzicht over te brengen bij onze overheid.
06-03-2021, 17:41 door Anoniem
Door karma4:
Door walmare: Dit soort ellende krijg je dus als een leverancier van consumenten software zich ook op de enterprise markt denkt te kunnen begeven. Hele volksstammen trappen er in.
Dat soort ellende krijg je dus als hobbyisten het verschil tussen de enterprise en een zolderkamer hobby niet doorhebben.

exchange dus duidelijk niet geschikt voor enterprise volgens jouw logica. want hoe je het ook wend of keert, er was een cross server side script error in combi met een 'ik mag lekker overal files schrijven' in die OWA en dus "the shit has hit the fan now"!

in zijn meest gunstige geval heb je 'slechts' met een OWA server te maken die powned is, alle mails kan lezen van iedereen (handig om te phishen enzo) en malware om de spam filters heen waarschijnlijk in de mails kan injecteren bij iedereen en en en en... je std riedeltje wat er had moeten gebeuren helpt hier ook niet tegen:

"Voor de vedediging / preventie.
- Netwerksegmentattie degelijk beheer.
- goede en geteste DR plannen procedures
- Bewustzijn van welke risico's re zijn."


vooral die laatste is nu extra ironisch.... een heel erg GROOT risico is dus een Exchange OWA server met een gapend gat er in die direct gekoppeld is aan de rest van de exchange omgeving?

maargoed, je zult er wel weer een of andere 'nee nee nee ik wil het niet horen' type spin aan geven weer...
06-03-2021, 19:05 door Anoniem
Door Anoniem:
Duitsland telt tienduizenden Exchange-servers die zeer waarschijnlijk allemaal al zijn besmet met malware
Om die reden (d.w.z. hacken van de mailserver via een kwetsbaarheid die er in kan zitten) is email dus nog altijd onveilig,
ondanks dat we tegenwoordig meestal encrypted communicatie met de mailserver hebben.

Deze kwetsbaarheden hebben niet veel met mail zelf te maken. De servers zijn hier kwetsbaar, niet mail zelf. Dat die servers door hun rol een hoop interessante data bevatten is weer een tweede.
06-03-2021, 19:08 door Anoniem
Door walmare: Dit soort ellende krijg je dus als een leverancier van consumenten software zich ook op de enterprise markt denkt te kunnen begeven. Hele volksstammen trappen er in.

Als je Microsoft nog steeds een leverancier van consumentensoftware noemt moet je jezelf wellicht even over je vooroordelen zetten voor een realitycheck.
06-03-2021, 19:10 door Anoniem
Door karma4:
Door walmare: Dit soort ellende krijg je dus als een leverancier van consumenten software zich ook op de enterprise markt denkt te kunnen begeven. Hele volksstammen trappen er in.
Dat soort ellende krijg je dus als hobbyisten het verschil tussen de enterprise en een zolderkamer hobby niet doorhebben.
Of professionals. In teveel organisaties met behoorlijke maatschappelijke relevantie zie je nog steeds zeer amateuristische v ook vormen van beheer. Zelfs als zaken redelijk geregeld zijn is het vaak verre van goed geregeld.
06-03-2021, 19:58 door Anoniem
Men kan met het onderstaande script vaststellen of men kwetsbaar is:
https://github.com/microsoft/CSS-Exchange/tree/main/Security

Laatste versie hier: https://github.com/microsoft/CSS-Exchange/releases/latest/download/Test-ProxyLogon.ps1

Eerder bekend als Test-Hafnium, automatiseert dit script alle vier commando's genoemd in de Hafnium blogpost.
Het heeft ook een voortgangsbalk en enkele tweaks om de CVE-2021-26855 test run veel sneller te kunnen uitvoeren.

Fijne week,

luntrus
07-03-2021, 12:45 door karma4 - Bijgewerkt: 07-03-2021, 12:47
Door Anoniem: Je krijgt van mij een dikke pluim als het jou lukt dit inzicht over te brengen bij onze overheid.

Blijven proberen, blijven uitleggen. Meerdere lagen van verdediging en meerdere plekken met monitoring.
Als je begrijpt waar de risico's zitten kun je er aan werken om ze in te perken.
Het is lastig want als iets lastig is, dan kost heel zeer veel geld om het goed te krijgen. Geld ofwel budgetten die er niet zijn.
Dat is de vicieuze cirkel van de continue verbetering.
Tegelijkertijd komen val alle kanten de bedreigingen op de bestaande toestand, te moeilijk te kostbaar we gaan wat anders proberen dat we in het geheel niet begrijpen. Dan blijkt later dat er nog meer problemen zijn dan eerst.

Door Anoniem: Of professionals. In teveel organisaties met behoorlijke maatschappelijke relevantie zie je nog steeds zeer amateuristische v ook vormen van beheer. Zelfs als zaken redelijk geregeld zijn is het vaak verre van goed geregeld.
Tja je hebt gelijk.Dan toch er maar de voor blijven inzetten ook al wordt je gewoon tegengewerkt.
07-03-2021, 13:29 door Anoniem
Door karma4:
Door Anoniem: Je krijgt van mij een dikke pluim als het jou lukt dit inzicht over te brengen bij onze overheid.

Blijven proberen, blijven uitleggen. Meerdere lagen van verdediging en meerdere plekken met monitoring.
Als je begrijpt waar de risico's zitten kun je er aan werken om ze in te perken.
Het is lastig want als iets lastig is, dan kost heel zeer veel geld om het goed te krijgen. Geld ofwel budgetten die er niet zijn.
Dat is de vicieuze cirkel van de continue verbetering.
Tegelijkertijd komen val alle kanten de bedreigingen op de bestaande toestand, te moeilijk te kostbaar we gaan wat anders proberen dat we in het geheel niet begrijpen. Dan blijkt later dat er nog meer problemen zijn dan eerst.

Door Anoniem: Of professionals. In teveel organisaties met behoorlijke maatschappelijke relevantie zie je nog steeds zeer amateuristische v ook vormen van beheer. Zelfs als zaken redelijk geregeld zijn is het vaak verre van goed geregeld.
Tja je hebt gelijk.Dan toch er maar de voor blijven inzetten ook al wordt je gewoon tegengewerkt.

Aan een dood paard trekken? Nee joh, dat werkt niet.

Wat wel werkt is gewoon weglopen, dan gaat de bestuurslaag erboven nadenken of de organisatie wel relevant is.
07-03-2021, 19:54 door Anoniem
Door Anoniem:
Door Anoniem:
Duitsland telt tienduizenden Exchange-servers die zeer waarschijnlijk allemaal al zijn besmet met malware
Om die reden (d.w.z. hacken van de mailserver via een kwetsbaarheid die er in kan zitten) is email dus nog altijd onveilig,
ondanks dat we tegenwoordig meestal encrypted communicatie met de mailserver hebben.


Email word pas onveilig als je zwakheden zoals backdoors aan veilige email-encryptie toepast,
en burgers er toe zet om maar een smartphone te gebruiken die beter te volgen is
zodat een overheid of de big tech-bedrijven beter weten wat jij als burger allemaal uitspookt als alternatief voor email.

The Matrix

Maak dat de hilarische Clintons maar wijs.
https://www.washingtonexaminer.com/news/fbi-docs-study-found-clinton-email-server-hacked-info-found-on-dark-web
08-03-2021, 10:48 door Anoniem
Wat mij opvalt is dat de overheid aangeeft om niet alleen te vertrouwen op "het automatische updateproces van Microsoft Exchange Server." Dat impliceert wat mij betreft dat je dus altijd waarborgen zult moeten inbouwen voor geautomatiseerde processen. Wij zien legio organisaties die alleen maar vertrouwen op geautomatiseerde update processen en daarmee in de overtuiging zijn dat het veilig en geregeld is...
08-03-2021, 13:27 door Bitje-scheef
Microsoft Exchange = gatenkaas Outlook = gatenkaas. Teams = gatenkaas (en broddelwerk).
08-03-2021, 14:04 door Anoniem
Door karma4:
Door walmare: Dit soort ellende krijg je dus als een leverancier van consumenten software zich ook op de enterprise markt denkt te kunnen begeven. Hele volksstammen trappen er in.
Dat soort ellende krijg je dus als hobbyisten het verschil tussen de enterprise en een zolderkamer hobby niet doorhebben.
Het is ongelofelijk hoe slechte software de markt domineert, op dat punt ben ik het eens met Walmare.

Karma4, jouw toevoeging van de termen "hobbyisten", "enterprise" en "zolderkamer hobby" vertroebelt de discussie.

Ooit is Bill Gates (Microsoft) ook als hobbyist begonnen op een zolderkamer (of was het in een garage), en inmiddels wordt deze software gebruikt door veel "enterprises". Kenmerkend is dat het closed source software is. En de relatie met security is dat deze software dus onopgemerkt ook backdoors kan bevatten.

De goede gever van 1 miljoen Euro aan D'66 en 3,5 ton aan de PvdD is Steven Schuurman van Elastic Search, ook ooit begonnen als hobby project maar is nu uitgegroeid tot een bedrijf met een beurswaarde van 6 miljard. Deze software is gratis te gebruiken, maar het verdienmodel is een "Enterprise" SLA aanbod. Kenmerkend is dat het open source software is.
https://nl.wikipedia.org/wiki/Elasticsearch

De security vraag is dus waar je meer vertrouwen in hebt of kunt hebben: closed source software of open source software. Termen als hobby en zolderkamer voegen niets toe.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.