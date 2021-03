Systeembeheerders hebben hun handen vol aan de schade die een ernstig lek in Microsofts Exchange-server heeft veroorzaakt. Hackers kunnen dankzij deze kwetsbaarheden vrij eenvoudig het hart van een bedrijf bereiken: de mailserver.

De fouten in Exchange werden vermoedelijk voor het eerst misbruikt door hackers in dienst van de Chinese overheid. Sinds Microsoft vorige week over het lek – en de bijbehorende reparatie – publiceerde, gebruiken cybercriminelen eenzelfde methode ook om wereldwijd servers te hacken. Dat gaat deels geautomatiseerd en is gericht op alle Exchangeservers die rechtstreeks aan het internet gekoppeld zijn.

De mailserver is de plek waar vertrouwelijke gegevens rondgaan en persoonlijke informatie over medewerkers te vinden is. Interessante data om te stelen, maar de server kan ook het punt zijn van waaruit hackers de rest van het netwerk proberen te infiltreren. De meest waarschijnlijk dreiging is een ransomware-aanval, waarbij data versleuteld worden die alleen tegen betaling worden vrijgegeven.

Het Nationaal Cybersecurity Center gaf (NCSC) op 2 maart al een high/high-waarschuwing af: een kwetsbaarheid met een hoge kans op misbruik en een hoge kans op schade.

Veertig procent van de Exchange-servers is kwetsbaar, waarschuwde het NCSC begin deze week. Het gaat om duizenden systemen. Inmiddels heeft het NCSC de indruk dat het aantal ongerepareerde Exchangeservers afneemt. Bedrijven die nu pas hun systemen ‘patchen’ lopen grote kans dat hackers binnendringen.

NCSC adviseert bedrijven om met terugwerkende kracht de log-bestanden tot september 2020 door te spitten, op zoek naar verdachte activiteiten. Vaak worden de logbestanden maar enkele maanden bewaard. Zo is het lastig om te achterhalen of hackers niet al eerder zijn binnengedrongen.

Ransomeware-aanvallen

Na de aanval op Amerikaanse instellingen stapelen voorbeelden van misbruik in Europa zich op. Deze week haalde de Europese Bankautoriteit EBA zijn mailservers uit de lucht vanwege een cyberaanval via Exchange. Dinsdag liet EBA weten dat er geen vertrouwelijke informatie is weggelekt. „De schade bleef beperkt”, aldus EBA in een persbericht.

SURF, de instantie die ict-voorzieningen regelt voor Nederlandse onderzoeks- en onderwijsinstellingen, vond afgelopen week ongeveer honderd kwetsbare servers binnen hun netwerk. Bij een ‘ruime handvol’ van die systemen was te zien dat hackers hadden geprobeerd binnen te komen via het lek in Exchange. Dat is voor zover nu bekend in veruit de meeste gevallen niet gelukt, aldus Wim Biemolt van SURFcert, de instantie voor de beveiliging van het SURF-netwerk.

Hoeveel instellingen er achter die honderd servers zaten, valt niet precies te zeggen; sommige instanties hebben meerdere servers in gebruik en leveren op hun beurt zelf weer ict-diensten aan kleinere scholen.

Scholen zijn vaak het doelwit van ransomware-aanvallen. Deze week nog sloegen de UvA en de HvA een cyberaanval af waarbij vijftig van de duizend servers geïnfecteerd waren.

Frank Groenewegen, cybersecurity-expert en partner bij Deloitte, vergelijkt de ernst van dit Exchange-lek met de problemen die thuiswerksoftware van Citrix had. Vorig jaar schakelden veel bedrijven en instellingen het werken op afstand tijdelijk uit, om hackers te weren.

Ook bij Deloitte meldden zich al bedrijven die vrezen gehackt te zijn via het Exchange-lek. De ernst van de schade wordt nu onderzocht. Het grootste risico, benadrukt Groenewegen, is een ransomware-aanval waarbij data ‘gegijzeld’ wordt en het hele bedrijf plat gaat. „De time-to-ransom kan enkele dagen of weken bedragen – maar soms ook een paar uur. Het hangt af van de complexiteit van het netwerk en het niveau van de hackers.”

Hulp van buitenaf

Microsoft heeft zelfs updates beschikbaar gesteld voor oudere Exchange-versies die officieel niet meer ondersteund werden. Dat is goed nieuws voor bedrijven die nog werken met verouderde software. Microsoft brengt ook nieuwe methodes uit waarmee systeembeheerders inbraken in Exchange kunnen opsporen.

Bedrijven of instellingen die zelf een mailserver beheren, in een extern datacenter of in een eigen pand, zijn kwetsbaar. Veel onderwijsorganisaties en kleine bedrijven maken gebruik van clouddiensten en zijn daarom volgens Microsoft niet kwetsbaar voor dit lek; wel weer kwetsbaar zijn middelgrote bedrijven, vanaf enkele tientallen werknemers, die zelf nog dikwijls een eigen mailserver draaien, al dan niet in combinatie met clouddiensten.

Niet al deze bedrijven hebben de kennis in huis om zelf de server aan te passen en moeten hulp van buitenaf inschakelen. Ook lokale overheden worstelen wel met systeembeheer, zo blijkt uit recente ransomware-aanvallen op Nederlandse gemeenten.

Voor Microsoft waren de kwetsbaarheden in Exchange Server ernstig genoeg om het gebruikelijke patroon van software-updates (elke tweede dinsdag van de maand) ervoor te onderbreken. Toch vindt Wim Biemolt van SURFcert dat Microsoft lang gewacht heeft met de waarschuwing. „De eerste problemen werden begin januari geconstateerd – twee maanden geleden. Ze hadden er ook voor kunnen kiezen om alvast de tijdelijke oplossing bekend te maken, in plaats van zolang te wachten.”