image

NCSC: Exchange-lek zorgt voor grote schade bij Nederlandse organisaties

dinsdag 16 maart 2021, 17:31 door Redactie, 16 reacties

Kwetsbaarheden in Exchange waardoor kwetsbare mailservers op afstand zijn over te nemen zorgen voor grote schade bij Nederlandse organisaties, zo stelt het Nationaal Cyber Security Centrum (NCSC) vandaag. Zo is er data van getroffen organisaties gestolen, zijn servers met malware besmet, backdoors geïnstalleerd en worden mailboxen te koop op internet aangeboden.

Op 2 maart bracht Microsoft noodpatches uit voor vier kwetsbaarheden in Exchange waarmee aanvallers kwetsbare systemen op afstand volledig kunnen overnemen. De beveiligingslekken worden wereldwijd op grote schaal misbruikt. Microsoft meldde vorige week dat er nog 83.000 Exchange-servers op internet zijn te vinden die kwetsbaar voor aanvallen zijn omdat ze de uitgebrachte beveiligingsupdates missen.

Volgens het NCSC zijn er in Nederland nog twaalfhonderd kwetsbare Exchange-servers te vinden waarop de beveiligingsupdates niet zijn geïnstalleerd en moet worden aangenomen dat al deze machines geïnfecteerd zijn. De organisaties achter deze Exchange-servers krijgen het advies om de updates zo snel mogelijk te installeren en te onderzoeken welke schade is aangericht.

Ook voor organisaties en bedrijven die de updates wel hebben uitgevoerd blijft de dreiging van een aanval aanwezig, aldus het NCSC. Voordat Microsoft de beveiligingsupdates op 2 maart uitrolde werd er namelijk al misbruik van de beveiligingslekken gemaakt, onder andere voor het installeren van backdoors. Zo kunnen aanvallers nog steeds toegang tot Exchange-servers houden, ook al zijn die inmiddels gepatcht.

Reacties (16)
16-03-2021, 18:15 door Anoniem
Wat ik mij dan afvraag, ze weten dat er nog 1200 exchange servers lek zijn. Nemen ze dan ook contact op met die partijen?
Mailtje sturen of bellen is al voldoende zou je zeggen.
16-03-2021, 20:26 door Anoniem
Door Anoniem: Wat ik mij dan afvraag, ze weten dat er nog 1200 exchange servers lek zijn. Nemen ze dan ook contact op met die partijen?
Mailtje sturen of bellen is al voldoende zou je zeggen.

Vermoed dat vele organisaties hun ICT hebben uitbesteed, en door de wijdverspreide aanval nu op een lijstje staan om geholpen te worden.

Daarbij komt ook dat vele organisaties hun documentatie niet op orde hebben. Dus bij elke organisatie moet eerst bepaald worden of back-up systemen goed zijn ingeregeld, voordat een patch wordt uitgerold. Ook al is er een zgn. 'one-click' solution, het daadwerkelijke werk duurt meerdere uren (voorrij tarief, inventarisatie, actieplan, executie patch, acceptatie, administratie, etc.).

De externe ICT dienstverlenende organisaties draaien overuren, met leuk tarief.
17-03-2021, 00:06 door Anoniem
Door Anoniem:
Vermoed dat vele organisaties hun ICT hebben uitbesteed, en door de wijdverspreide aanval nu op een lijstje staan om geholpen te worden.

Daarbij komt ook dat vele organisaties hun documentatie niet op orde hebben.
Dat zal toch niet allebij tegelijk waar zijn??? Een reden om de ICT uit te besteden is (voor beleidsmakers) juist vaak dat men het idee heeft dat "men het zelf niet (meer) kan" en dat professionele dienstverleners juist zaken als documentatie veel beter regelen dan als je zelf een nerd aan het werk hebt.
Mocht in de praktijk blijken dat het bij uitbesteden evengoed niet voor elkaar is dan mag daar wel eens een goed gesprek over gevoerd worden!
Zeker als er ook nog eens zoveel kouwe drukte omheen gemaakt wordt als je voorrekent...
17-03-2021, 07:01 door Anoniem
Door Anoniem:
Door Anoniem: Wat ik mij dan afvraag, ze weten dat er nog 1200 exchange servers lek zijn. Nemen ze dan ook contact op met die partijen?
Mailtje sturen of bellen is al voldoende zou je zeggen.

Vermoed dat vele organisaties hun ICT hebben uitbesteed, en door de wijdverspreide aanval nu op een lijstje staan om geholpen te worden.

Daarbij komt ook dat vele organisaties hun documentatie niet op orde hebben. Dus bij elke organisatie moet eerst bepaald worden of back-up systemen goed zijn ingeregeld, voordat een patch wordt uitgerold. Ook al is er een zgn. 'one-click' solution, het daadwerkelijke werk duurt meerdere uren (voorrij tarief, inventarisatie, actieplan, executie patch, acceptatie, administratie, etc.).

De externe ICT dienstverlenende organisaties draaien overuren, met leuk tarief.

mjaaaaanee.
Dat is allemaal een goed idee, maar liever geen exchange server dan eentje die gehacked is.
Uit, snapshot, aan, patchen. ja, je domain schema wordt bijgewerkt als je een stevig aantal CU's achterloopt, maar daar backup je over het algemeen ook slecht tegen, dit is er eentje van de klasse "Gewoon gaan"

Ik heb er 2 zelf mogen doen,en een stuk of 20 mogen begeleiden, meer dan de helft van de systeembeheerders dacht dat het wel goed zat omdat ze windows updates draaide.
17-03-2021, 08:37 door Anoniem
Voordat Microsoft de beveiligingsupdates op 2 maart uitrolde werd er namelijk al misbruik van de beveiligingslekken gemaakt, onder andere voor het installeren van backdoors
Je kan er dus vanuit gaan dat elk windowsgebaseerd bedrijf is gehackt.
17-03-2021, 09:07 door Anoniem
Door Anoniem: Wat ik mij dan afvraag, ze weten dat er nog 1200 exchange servers lek zijn. Nemen ze dan ook contact op met die partijen?
Mailtje sturen of bellen is al voldoende zou je zeggen.

mailtje sturen lijkt me niet zo handig :-D
17-03-2021, 09:16 door Anoniem
naast patching, wat inderdaad een behoorlijk projectje kan zijn, eerst kijken of je in ieder geval wat preventie, detectie en wat hunting kan doen op de IOCs. https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

FW, IDS/IPS, EPP, snadbox etc updaten/blacklisten met de inmiddels bekende hashes, IPs, DNS.. filepaths, tools
17-03-2021, 09:19 door Anoniem
Er zijn op dit moment ook treatscans / portscans op vulnerabilities die worden uitgezet en langskomen in logs. Wij hebben in het verleden ook wel eens een mail gehad van het CSIRT-DSP https://csirtdsp.nl/ vanwege een late patch op een exchange server in beheer.
17-03-2021, 09:33 door Anoniem
Door Anoniem: Wat ik mij dan afvraag, ze weten dat er nog 1200 exchange servers lek zijn. Nemen ze dan ook contact op met die partijen?
Mailtje sturen of bellen is al voldoende zou je zeggen.

Je weet toch dat MS alleen belt vanuit India? :D
17-03-2021, 10:35 door Anoniem
Door Anoniem:
Door Anoniem: Wat ik mij dan afvraag, ze weten dat er nog 1200 exchange servers lek zijn. Nemen ze dan ook contact op met die partijen?
Mailtje sturen of bellen is al voldoende zou je zeggen.

mailtje sturen lijkt me niet zo handig :-D
Je weet toch dat MS alleen belt vanuit India? :D

De exchange servers of de hele organisatie afsluiten van het internet totdat ze hun zaakjes op orde hebben.
Dat werkt veel sneller.
17-03-2021, 10:36 door Anoniem
Door Anoniem: Wat ik mij dan afvraag, ze weten dat er nog 1200 exchange servers lek zijn. Nemen ze dan ook contact op met die partijen?
Mailtje sturen of bellen is al voldoende zou je zeggen.

Niet denken dat dat niet gebeurt ...

Ook niet denken dat de toko's waar ze alle patch urgentie gemist hebben wel goed bereikbaar zijn en iets gaan doen als ze even een mailtje krijgen of de receptie een telefoontje krijgt ...

Dat is echt een leermoment als je een tijdje werkt - afleren te verwachten dat mensen zoals je zelf bent en je ICT klasgenoten overal waar een systeem staat werken.
17-03-2021, 11:33 door Anoniem
Vroeger werd ik bij Xs4all wel eens afgesloten omdat ik mijn MS small business server niet goed gepatched had en een fijne open relay was.
Zouden we niet zoiets ook moeten doen voor die Exchange servers? ze komen hoe dan ook denk ik op een blacklist?
17-03-2021, 11:56 door Anoniem
Door Anoniem:
Door Anoniem:
Vermoed dat vele organisaties hun ICT hebben uitbesteed, en door de wijdverspreide aanval nu op een lijstje staan om geholpen te worden.

Daarbij komt ook dat vele organisaties hun documentatie niet op orde hebben.
Dat zal toch niet allebij tegelijk waar zijn??? Een reden om de ICT uit te besteden is (voor beleidsmakers) juist vaak dat men het idee heeft dat "men het zelf niet (meer) kan" en dat professionele dienstverleners juist zaken als documentatie veel beter regelen dan als je zelf een nerd aan het werk hebt.
Mocht in de praktijk blijken dat het bij uitbesteden evengoed niet voor elkaar is dan mag daar wel eens een goed gesprek over gevoerd worden!
Zeker als er ook nog eens zoveel kouwe drukte omheen gemaakt wordt als je voorrekent...

joh naief hoor! die gespreken zijn er pas nadat het kalf....
17-03-2021, 16:28 door Anoniem
Door Anoniem: Vroeger werd ik bij Xs4all wel eens afgesloten omdat ik mijn MS small business server niet goed gepatched had en een fijne open relay was.
Zouden we niet zoiets ook moeten doen voor die Exchange servers? ze komen hoe dan ook denk ik op een blacklist?

ik ben benieuwd... waarom had je je MS small business server niet goed gepatched?
17-03-2021, 18:02 door Anoniem
Door Anoniem: Wat ik mij dan afvraag, ze weten dat er nog 1200 exchange servers lek zijn. Nemen ze dan ook contact op met die partijen?
Mailtje sturen of bellen is al voldoende zou je zeggen.
Ik snap dat zij een betaalde instantie zijn en geen vrijwilligers. Maar heb je ooit in je leven een responsible disclosure gedaan? Ik ben puur begonnen met BugBountyHunting omdat 90% van me disclosures in de wind geslagen worden. Ik heb zelfs meegemaakt dat ik een disclosure deed en dat 5 weken later een bedrijf gehackt was HvA/Surf (niet door mijn disclosure want alles was netjes pgp versleuteld, van bestanden tot mails.) Trouwens nog steeds geen gehoor van gekregen lol.
18-03-2021, 08:50 door Anoniem
Door Anoniem: Vroeger werd ik bij Xs4all wel eens afgesloten omdat ik mijn MS small business server niet goed gepatched had en een fijne open relay was.
Zouden we niet zoiets ook moeten doen voor die Exchange servers? ze komen hoe dan ook denk ik op een blacklist?

Mijn OCD zegt dat dat niets met patchen, maar met configuratie te maken heeft.
sorry!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.