image

Vierhonderd Exchange-servers in België geïnfecteerd met malware

donderdag 18 maart 2021, 10:10 door Redactie, 11 reacties

Van meer dan vierhonderd Exchange-servers in België staat vast dat ze geïnfecteerd zijn met malware, zo stelt het Centrum voor Cybersecurity België (CCB) van de Belgische overheid. De organisatie waarschuwde eerder deze week al voor een "tsunami aan cyberaanvallen" als gevolg van de kwetsbaarheden in de mailserversoftware van Microsoft.

Afgelopen maandag waren meer dan duizend Microsoft Exchange-servers in het land nog altijd kwetsbaar omdat beschikbare beveiligingsupdates niet waren geïnstalleerd. Van vierhonderd van deze kwetsbare servers staat vast dat aanvallers de kwetsbaarheden hebben gebruikt om een webshell te installeren. Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando's uit te voeren.

Vaak worden webshells voor verdere aanvallen ingezet. Iets waar ook het CCB rekening mee houdt: "We vrezen dan ook dat sommige organisaties en bedrijven de komende dagen en weken het slachtoffer worden van ransomware of dat er data gestolen zal worden." De Belgische overheidsinstantie is nu begonnen om getroffen organisaties en bedrijven waarvan contactgegevens beschikbaar zijn te waarschuwen.

Het Nederlandse Nationaal Cyber Security Centrum (NSCS) liet afgelopen dinsdag weten dat het Exchange-lek ook voor grote schade bij Nederlandse organisaties heeft gezorgd. Zo is er data van getroffen organisaties gestolen, zijn servers met malware besmet, backdoors geïnstalleerd en worden mailboxen te koop op internet aangeboden.

Reacties (11)
18-03-2021, 10:20 door Anoniem
Wat een drama, zeg! Ook al patch je de software, dan blijft de kans dat je alsnog slachtoffer wordt van ransomware.

Als beheerder zou ik meteen een andere functie zoeken, want je bent hoe dan ook het bokje als het misgaat.

Een gevecht aan twee fronten: de ICT-omgeving luistert niet naar signalen van de beheerder dat het niet goed is, en op begrip vanuit bovenliggende lagen kan de beheerder ook niet rekenen.
18-03-2021, 10:45 door dvanleur
Ik snap best dat organisaties niet direct tijd of de mogelijkheid hebben om te patchen, maar dan zorg je in ieder geval ervoor dat de Exchange server niet publiek beschikbaar is en dat de email alleen via een workspace/vpn benaderbaar is op het moment dat Microsoft met de beveiligingsmelding kwam.

Organisaties die nog steeds de servers niet gepatched hebben en gewoon aan het internet hebben hangen,die hebben een struisvogel politiek of ze vinden het belangrijker om hun email te kunnen lezen op hun mobiel dan de risco's op malware/ransomware.
18-03-2021, 11:16 door Anoniem
Door dvanleur: Ik snap best dat organisaties niet direct tijd of de mogelijkheid hebben om te patchen, maar dan zorg je in ieder geval ervoor dat de Exchange server niet publiek beschikbaar is en dat de email alleen via een workspace/vpn benaderbaar is op het moment dat Microsoft met de beveiligingsmelding kwam.

Organisaties die nog steeds de servers niet gepatched hebben en gewoon aan het internet hebben hangen,die hebben een struisvogel politiek of ze vinden het belangrijker om hun email te kunnen lezen op hun mobiel dan de risco's op malware/ransomware.

Nee joh, het probleem vaak dat de wil ontbreekt.

Zelf eens in een organisatie gestaan met een voorstel om de ICT te verbeteren, maar doorpakken ho maar. Het interesseert sommigen gewoon niet.
18-03-2021, 12:32 door Anoniem
Dat er problemen waren met Exchange-server was al 2 maart bekend. Als je zelf Exchange-server wil draaien moet je op dit soort zaken voor bereid zijn en naar handelen. Zou het admin ww ook nog Welkom2020 zijn?
18-03-2021, 15:43 door Anoniem
Door Anoniem: Dat er problemen waren met Exchange-server was al 2 maart bekend. Als je zelf Exchange-server wil draaien moet je op dit soort zaken voor bereid zijn en naar handelen. Zou het admin ww ook nog Welkom2020 zijn?
Nee, het wachtwoord is natuurlijk wel aangepast naar Welkom2021 ;)
18-03-2021, 18:55 door Anoniem
Door Anoniem: Wat een drama, zeg! Ook al patch je de software, dan blijft de kans dat je alsnog slachtoffer wordt van ransomware.

Als beheerder zou ik meteen een andere functie zoeken, want je bent hoe dan ook het bokje als het misgaat.

Een gevecht aan twee fronten: de ICT-omgeving luistert niet naar signalen van de beheerder dat het niet goed is, en op begrip vanuit bovenliggende lagen kan de beheerder ook niet rekenen.
Klinkt bekend, Lief zijn voor de puppy/welp :).
18-03-2021, 21:12 door walmare
Door Anoniem: Wat een drama, zeg! Ook al patch je de software, dan blijft de kans dat je alsnog slachtoffer wordt van ransomware.

Als beheerder zou ik meteen een andere functie zoeken, want je bent hoe dan ook het bokje als het misgaat.

Een gevecht aan twee fronten: de ICT-omgeving luistert niet naar signalen van de beheerder dat het niet goed is, en op begrip vanuit bovenliggende lagen kan de beheerder ook niet rekenen.
Daarnaast wijst de MS fanclub ook altijd naar de beheerder want de software is perfect.
18-03-2021, 21:34 door Anoniem
Door Anoniem:
Door dvanleur: Ik snap best dat organisaties niet direct tijd of de mogelijkheid hebben om te patchen, maar dan zorg je in ieder geval ervoor dat de Exchange server niet publiek beschikbaar is en dat de email alleen via een workspace/vpn benaderbaar is op het moment dat Microsoft met de beveiligingsmelding kwam.

Organisaties die nog steeds de servers niet gepatched hebben en gewoon aan het internet hebben hangen,die hebben een struisvogel politiek of ze vinden het belangrijker om hun email te kunnen lezen op hun mobiel dan de risco's op malware/ransomware.

Nee joh, het probleem vaak dat de wil ontbreekt.

Zelf eens in een organisatie gestaan met een voorstel om de ICT te verbeteren, maar doorpakken ho maar. Het interesseert sommigen gewoon niet.
Mahw, ligt er een beetje aan. "ik zelf" ben gewend dat er uberhaupt niet geluisterd word naar IT persooneel door management en golvende bazen. (niet elk managent en elke baas is slecht natuurlijk). Maar ook mist vaak de kennis, Security is een moeilijk iets, zeker als je hard op je vingers geslagen word als er iets fout gaat en je de productie hinderd.

Maarja, zo als ze (le delloite lady) al zei (als ik het vrij mag intepreteren). Je moet zuinig zijn op je IT-ers en de rest van het personeel. Het personeel is het hart van je bedrijf en je land als geheel.

Neemt echter niet weg dat sommig personeel echt echt echt geen fuck geeft.
18-03-2021, 22:56 door Anoniem
Door walmare:
Daarnaast wijst de MS fanclub ook altijd naar de beheerder want de software is perfect.
Ja hoor want MS is natuurlijk NIET verantwoordelijk voor wat de systeembeheerder uitvoert.
Dus als er een oplossing is......
19-03-2021, 07:50 door Anoniem
Door walmare:
Door Anoniem: Wat een drama, zeg! Ook al patch je de software, dan blijft de kans dat je alsnog slachtoffer wordt van ransomware.

Als beheerder zou ik meteen een andere functie zoeken, want je bent hoe dan ook het bokje als het misgaat.

Een gevecht aan twee fronten: de ICT-omgeving luistert niet naar signalen van de beheerder dat het niet goed is, en op begrip vanuit bovenliggende lagen kan de beheerder ook niet rekenen.
Daarnaast wijst de MS fanclub ook altijd naar de beheerder want de software is perfect.

<ironisch>
misschien is er ook wel wat mis met iemand die een MS server beheert? jezelf profesioneel onderhevig maken aan dat update en patch beleid waar je geen grip of control op hebt?
</ironisch>
19-03-2021, 15:40 door Anoniem
Door Anoniem:
Door walmare:
Daarnaast wijst de MS fanclub ook altijd naar de beheerder want de software is perfect.
Ja hoor want MS is natuurlijk NIET verantwoordelijk voor wat de systeembeheerder uitvoert.
Dus als er een oplossing is......
De EULA is daar heel duidelijk over. Je erkent voor het installeren dat Microsoft nergens voor verantwoordelijk is, anders was het al lang failliet geweest. Logisch dus dat Microsoft alle schuld bij de beheerder legt want hun software is perfect.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.