NCSC slaat alarm na Chinese hack van Microsoft Exchange

Cybercrime Ook Nederlandse mailservers zijn de dupe van een wereldwijd lek in Microsoft Exchange, ontdekt door Chinese hackers. Het Nationaal Cybersecurity Center slaat alarm.

Het lek in Exchange treft duizenden bedrijven en instellingen, ook in Nederland.
Het lek in Exchange treft duizenden bedrijven en instellingen, ook in Nederland. Foto Swayne B. Hall/AP

Een ernstig lek in Exchange, de veelgebruikte mailsoftware van Microsoft, heeft wereldwijd voor problemen gezorgd. Van de kwetsbaarheid, vermoedelijk eerst door Chinese hackers misbruikt, is nu ook misbruik gemaakt door andere cybercriminelen. Het treft duizenden bedrijven en instellingen, ook in Nederland.

Het lek geeft hackers volledige toegang tot en controle over alle mail en gebruikersdata op de server. Het Nationaal Cybersecurity Center (NCSC) waarschuwde maandag dat 40 procent van de Exchange-servers in Nederland kwetsbaar is. Hoeveel bedrijven en organisaties in totaal een Exchange-server hebben, wil Microsoft niet bekendmaken. De kwetsbaarheid zou niet gelden voor de clouddiensten.

Volgens Amerikaanse schattingen, afkomstig van veiligheidsspecialist Brian Krebs, gaat het om meer dan 30.000 getroffen instellingen in de VS. Het zijn organisaties die een eigen mailserver hebben, waaronder bedrijven, financiële instellingen, providers en nooddiensten.

Microsoft wil geen indicatie geven over de impact van het lek in Europa of Nederland. Beveiligingsbedrijf Kaspersky telt tot nu toe wereldwijd ruim 1.300 servers die daadwerkelijk gehackt zijn. Dat is een incompleet beeld, benadrukt het bedrijf, maar het geeft een indicatie van de plekken waar hackers toeslaan. Iets minder dan 3 procent van die ontdekte servers staat in Nederland, Duitsland springt eruit met 27 procent.

Lees ook: Ook Microsoft gehackt, link met grootschalige hack van ministeries VS

Hafnium

De kwetsbaarheid bestaat uit vier afzonderlijke ‘bugs’ waarvoor Microsoft een reparatie beschikbaar heeft gesteld. De softwarefouten werden volgens Microsoft hoogstwaarschijnlijk voor het eerst misbruikt door een Chinese groep hackers die ‘Hafnium’ gedoopt is. Al sinds januari is Hafnium gericht bedrijven aan het hacken.

Vorige week maakte Microsoft bekend dat Exchange lek is en het stelde de benodigde reparatie-updates beschikbaar om het probleem op te lossen. Daarna voerde Hafnium het aantal aanvallen in hoog tempo op. Ook andere groepen cybercriminelen hebben de afgelopen dagen hun eigen variant gemaakt op de kwaadaardige software, om de kwetsbaarheden te benutten.

In de praktijk wachten bedrijven vaak met het updaten van hun systeem. Jornt van der Wiel, beveiligingsexpert van Kaspersky: „Systeembeheerders zijn bang dat een update voor problemen zorgt en nemen soms maanden de tijd om een reparatie eerst uit te proberen.” Die luxe is er nu niet. De hackers zoeken geautomatiseerd naar bedrijven met een eigen mailserver die via internet benaderbaar is. „Het enige wat ze nodig hebben is één gebruikersnaam”, zegt Van der Wiel.

De inbrekers kunnen data wegsluizen en via de Exchange-server proberen verder in te breken. Van der Wiel: „De hackers hebben toegang tot een belangrijke server en kunnen vanaf die plek andere delen van het netwerk infiltreren.” Daardoor zouden hackers later bedrijven alsnog kunnen chanteren door data te gijzelen.

Dat Microsoft in één keer vier lekken moest dichten, is niet ongebruikelijk, aldus Van der Wiel. „De hackers hebben meerdere kwetsbaarheden moeten vinden om telkens een stapje verder te komen om controle over de mailserver te krijgen. Elk van die stapjes wordt nu gedicht.”

Microsoft had een hulpmiddel beschikbaar gesteld om te speuren naar door Hafnium geïnfiltreerde servers. Dat biedt geen zekerheid meer omdat er nu veel andere varianten rondgaan.

Microsoft zegt in een reactie dat getroffen klanten contact moeten opnemen met serviceteams „voor hulp en begeleiding”.