SharePoint-servers 145 organisaties wereldwijd getroffen bij aanvallen
De Microsoft SharePoint-servers van 145 organisaties wereldwijd zijn bij een recente aanval getroffen en gecompromitteerd door aanvallers, zo stelt het Nederlandse cybersecuritybedrijf Eye Security op basis van eigen onderzoek. Het bedrijf publiceerde op 19 juli een blogposting over misbruik van een SharePoint-lek waarvoor op dat moment nog geen patches beschikbaar waren. Uit een scan van meer dan 27.000 SharePoint-servers, uitgevoerd tussen 18 en 23 juli, blijkt dat 396 systemen waren gecompromitteerd bij 145 unieke organisaties in 41 landen.
Vier procent van de infecties werd in Nederland waargenomen. De meeste besmettingen (18 procent) namen de onderzoekers in de Verenigde Staten waar. Van de 145 getroffen organisaties bevond dertig procent zich in de overheidssector en nog eens dertien procent in het onderwijs. Volgens Eye Security laten de gegevens zien dat het geen willekeurige of opportunistische aanvalscampagne was. "De aanvallers wisten precies wat ze zochten."
De onderzoekers voerden over meerdere dagen meerdere scans naar SharePoint-servers uit. Het aantal besmette servers nam tijdens de tweede scan ten opzichte van de eerste scan toe. Microsoft had toen al noodpatches uitgebracht. Dit wijst er volgens het securitybedrijf op dat veel organisaties hun systemen nog niet hadden gepatcht of dat de aanvallers al toegang tot het systeem hadden toen de patch werd geïnstalleerd. Het installeren van de update is niet voldoende om een compromittering ongedaan te maken.
"In dit soort incidenten zie je vaak hetzelfde patroon: zodra een zero-day publiek bekend wordt en technische details gaan rondzingen, springen andere statelijke én niet-statelijke actoren erbij. Daarbij zitten ook cybercriminelen met hele andere drijfveren – zoals puur financieel gewin", zegt Lodi Hensen van Eye Security. Microsoft liet eind juli al weten dat het SharePoint-lek ook bij ransomware-aanvallen was gebruikt. Deze week werden in de Tweede Kamer aan demissionair minister Van Weel van Justitie en Veiligheid vragen over het beveiligingslek gesteld.
Ten eerste: 396 geïnfecteerde systemen op meer dan 27.000 gescande servers is ongeveer 1,5%. Dat is vervelend voor de betrokken organisaties, maar het is geen digitale apocalyps. Bovendien is vier procent van de besmettingen in Nederland – dat komt neer op zo'n 16 systemen. Is dat echt reden tot paniek?
Daarnaast is het weinig verrassend dat overheden en onderwijsinstellingen vaker slachtoffer zijn. Die draaien vaak op verouderde IT-infrastructuur, hebben stroperige besluitvorming rond updates en security, en zijn vaak te afhankelijk van externe partijen. Dat is een structureel probleem, geen unieke zwakte van deze aanval.
Het citaat over “aanvallers die precies wisten wat ze zochten” suggereert een geavanceerde, gerichte aanval, maar dat klinkt eerder als marketingtaal dan als harde technische analyse. Laten we wel wezen: als een zero-day eenmaal uitlekt en breed bekend is, gaan vanzelf alle mogelijke cybercriminelen, groot en klein, ermee aan de haal. Dat is niets nieuws – dat is internet 101.
Natuurlijk moet je patchen, en ja, dat moet snel gebeuren. Maar om dan te concluderen dat het falen van organisaties vooral hun eigen schuld is, is ook wat makkelijk. Soms is de patch er pas laat, of is die onduidelijk, of breekt hij andere functies. En dan? Systeembeheer is geen magisch beroep – dat is gewoon hard werken met beperkte middelen.
Wees alert, patch je systemen, neem security serieus – maar laten we vooral niet in de valkuil van sensatie of schuld schuiven trappen. Gewoon nuchter blijven en doen wat nodig is.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?