Er is nog niet heel veel aandacht in de media voor het lek in Exchange waarmee we op dit moment te maken hebben maar we voorspellen vast dat dit gaat veranderen.  

Begin vorige week kregen we berichten vanuit verschillende kanten dat er een lek was ontdekt in Microsoft Exchange. Microsoft had nog geen definitieve oplossing maar er was wel een “soort van fix” gemaakt waarmee je het een en ander kon repareren.  

We krijgen vrijwel dagelijks berichten van lekken in software waar we actie op moeten ondernemen, maar dit voelde toch anders.

Wat was het probleem?

Via de webingang van Microsoft Exchange (denk aan bijvoorbeeld de webmail URL) konden hackers toegang krijgen tot het bestandssysteem van de Exchange server en daar bestanden plaatsen en/of aanpassen. Veel erger kan dus niet, want op die manier konden hackers theoretisch toegang krijgen tot het volledige systeem. Dat is zachtjes uitgedrukt nogal een probleem.

Wat hebben wij toen gedaan?

Toen we vorige week het nieuws te horen kregen was de impact van het lek nog niet geheel helder (dit werd pas in de uren daarna duidelijker). We hebben twee dingen vrijwel direct ondernomen:

We hebben IDP aangescherpt en handmatig aangevuld met de door Juniper beschikbaar gestelde regels. IDP is een systeem waarmee je hacks kunt voorkomen zonder dat je exact weet op welke manier de hack zal plaatsvinden. IDP herkent afwijkingen in gedrag en werkt met openbare databases waarin onregelmatigheden worden vastgelegd.  

We hebben diezelfde dag de fix van Microsoft doorgevoerd en waar nodig de laatste Exchange updates doorgevoerd.  

Opgelost toch?

Nou, niet helemaal. Van de 78 Exchange servers die wij voor onze klanten hosten en beheren bleken er 5 actief te zijn aangevallen in de periode tussen het bekend worden van het lek en het doorvoeren van de beschikbaar gestelde patch. Dit bleek na onderzoek van de logging. In vier van de vijf gevallen konden we aantonen dat er geen toegang was geweest tot het bestandssysteem van de servers. In één geval was dit echter niet duidelijk. In de IDP-log zagen we continu aanvallen op deze server en ook de server zelf vertoonde raar gedrag. Accounts van medewerkers werden gelockt omdat er via de OWA URL aanvallen bleven plaatsvinden met gebruikersnamen die ook daadwerkelijk bestonden.  

Dit betekent dus dat gebruikersnamen konden worden achterhaald via het lek. We hebben onze klant geadviseerd hiervan een melding te doen bij de autoriteit persoonsgegevens.  

En nu?

We zijn begrijpelijkerwijs niet zo van de risico’s bij 4Consult. En al helemaal niet omdat het hier om een zorginstelling gaat. We vonden geen sporen op de server zelf maar omdat we, ook na overleg met Microsoft, geen zekerheid konden geven of er bestanden waren aangepast hebben we besloten de server uit te zetten. Wat Microsoft wel met zekerheid kon zeggen is dat het lek nog niet algemeen bekend was voor 1 maart en dat de kans nihil was dat Exchange databases (EDB’s) besmet konden raken.  

We hebben daarom besloten om een back-up van de volledige Exchange server van ruim voor het bekend worden van het lek terug te zetten en we hebben de EDB’s (de databases met alle mailboxen) teruggezet zodat er geen dataverlies is. Daarnaast hebben we alle wachtwoorden van alle gebruikers en administrators uit voorzorg veranderd.  

Omdat nu ook de patch van Microsoft was geplaatst (voordat de server met het internet was verbonden) kunnen we met zekerheid zeggen dat de server weer veilig is.  

Later op de avond hebben we besloten om ook de vier andere servers die aangevallen waren op dezelfde manier te “herstellen”. Alles is nu weer rustig. De aanvallen blijven weg omdat de kwetsbaarheden zijn opgelost (automatische scans vinden geen kwetsbaarheden meer en laten de servers met rust).

Waarom dan toch dit bericht op internet?

4Consult heeft in de loop van de jaren een groot netwerk opgebouwd met daarin gespecialiseerde freelancers, security adviseurs en collega ICT-bedrijven. We weten intussen van 8 gevallen waarbij meerdere servers van deze relaties zijn aangevallen. Het gaat hierbij in totaal om meer dan honderd Exchange servers.  

Het NCSC verwacht dat tenminste 40% van de Exchange servers in NL nu nog kwetsbaar is. Het beveiligingsbedrijf Kaspersky telde maandag al ruim 1300 servers waarvan met zekerheid kan worden gezegd dat ze al gehackt zijn en dus gecontroleerd kunnen worden door hackers. Het aantal inbraakpogingen loopt de laatste dagen in rap tempo op en de kans dat servers zijn besmet zonder dat bedrijven dat misschien weten neemt dus toe.  

Een gemiddeld ICT-bedrijf heeft echt wel door wat er gebeurt doordat ze lid zijn van nieuwsgroepen, netwerken en security platformen. Zelfs voor ons als ICT-bedrijf was dit nog even een puzzel om uit te zoeken hoe we dit snel en goed konden repareren. Hoe zit het dan met bedrijven die zelf een Exchange server beheren? En dit doen met beheerders die, met alle respect, minder of geen toegang hebben tot de juiste informatiebronnen?  

Wij voorspellen dat dit nog wel een staartje gaat krijgen! De kwetsbaarheid van Exchange kan op verschillende manieren worden misbruikt. Niet ondenkbaar is het plaatsen van scripts waarbij in de toekomst bestanden worden versleuteld en losgeld zal worden geëist. Ook niet ondenkbaar is het scenario waarin hackers toegang blijven houden tot de servers en zo data wegsluizen zonder dat dit opgemerkt wordt. Twee van onze ICT-relaties gaven aan nu al vreemde datastromen te hebben gezien vanaf diverse servers van hun klanten.

Is dit te voorkomen?

Nee! Je loopt altijd achter de feiten aan. Er worden tientallen lekken per dag ontdekt. De meeste zijn relatief onschuldig en worden opgelost met reguliere security updates of losse patches. Soms, zoals nu, zijn de lekken ernstiger en kan er meer schade worden aangericht. Het probleem is dat je hier pas achter komt als de eerste bedrijven al zijn aangevallen. Het is zaak om snel te acteren als dergelijke lekken bekend worden. Met terugwerkende kracht kan worden gezegd dat dit lek al is gebruikt voor aanvallen voordat zelfs Microsoft op de hoogte was van het lek.  

Een paar dingen zou je kunnen ondernemen om het risico in de toekomst te verkleinen:

Maak gebruik van een IPS/IDP oplossing,

Maak gebruik van een MFA-oplossing (had overigens in dit geval geen enkel effect),

Zorg dat je tenminste 1x per maand alle reguliere updates van Microsoft doorvoert,

Zorg dat je security patches die uitkomen zo goed als direct doorvoert,

Volg het nieuws van het NCSC of andere betrouwbare bronnen.