image

Europese Bankenautoriteit getroffen door inbraak op Exchange-servers

dinsdag 9 maart 2021, 10:14 door Redactie, 17 reacties

Aanvallers zijn erin geslaagd om in te breken op de Exchange-servers van de Europese Bankenautoriteit (EBA). Na ontdekking van de inbraak werd besloten om alle e-mailsystemen offline te halen. De aanvallers maakten gebruik van kwetsbaarheden in Exchange Server 2013, 2016 en 2019 waarvoor Microsoft vorige week een noodpatch uitbracht. Via de beveiligingslekken kan een aanvaller op afstand toegang tot kwetsbare Exchange-servers krijgen.

Het onderzoek naar de aanval is nog gaande, maar uit de voorlopige resultaten blijkt dat er geen gegevens zijn gestolen. Ook zijn er geen aanwijzingen gevonden dat de aanvallers toegang tot andere systemen dan de mailservers hebben gekregen. De EBA geeft aan aanvullende beveiligingsmaatregelen en monitoring te zullen treffen bij het herstellen van de mailservers en heeft naar zeggen alle mogelijke voorzorgsmaatregelen genomen om persoonsgegevens en andere data te beschermen.

Reacties (17)
09-03-2021, 10:45 door Anoniem
Waren toch niet helemaal gewaarschuwd?
Gaat toch al dagen?
09-03-2021, 10:59 door Anoniem
Sommige bedrijfen moeten ook niet hun rommel aan het internet hangen, dan maar niet je telefoon syncen vanaf elke plek, wacht je maar tot je terug bent op kantoor.
09-03-2021, 11:07 door Anoniem
Een betere kop zou zijn "Europese Bankenautoriteit getroffen door inbraak wegens laks patch beleid"
09-03-2021, 11:30 door Anoniem
Door Anoniem: Sommige bedrijfen moeten ook niet hun rommel aan het internet hangen, dan maar niet je telefoon syncen vanaf elke plek, wacht je maar tot je terug bent op kantoor.

Als ze batch-smtp hebben, dan zou het geen probleem moeten zijn. Maar blijkbaar hebben ze het anders ingericht.
09-03-2021, 13:27 door Anoniem
Door Anoniem: Een betere kop zou zijn "Europese Bankenautoriteit getroffen door inbraak wegens laks patch beleid"

Dit is een aanname...
Dinsdag avond 2-3-2021 werden de updates uitgebracht.
Zelf hebben wij woensdag ochtend 3-3-2021 deze geinstalleerd.

Ondanks snelle installatie, zagen we toch al een mislukte poging in de logs nog paar uur voordat de patch was geinstalleerd.

Gelukkig uit analyse zijn ze niet verder gekomen dan de poging, geen webshells etc...

De vraag is, defineer een "laks patch beleid"?
Direct patchen wanneer een update uitkomt is niet altijd mogelijk.
09-03-2021, 13:29 door Anoniem
Door Anoniem: Sommige bedrijfen moeten ook niet hun rommel aan het internet hangen, dan maar niet je telefoon syncen vanaf elke plek, wacht je maar tot je terug bent op kantoor.

Probeer dit maar eens uit te leggen aan Directie en Management, waarbij er hoge Business behoefte is voor deze functionaliteit.
09-03-2021, 13:59 door Anoniem
Door Anoniem: Een betere kop zou zijn "Europese Bankenautoriteit getroffen door inbraak wegens laks patch beleid"

Je bedoelt misbruik van het lek wat er sinds vorig jaar al inzit? makkelijk lullen zo.
09-03-2021, 14:35 door Anoniem
Door Anoniem: Een betere kop zou zijn "Europese Bankenautoriteit getroffen door inbraak wegens laks patch beleid"

Wie zegt dat dat afgelopen week gebeurd is. Het kan ook zijn dat er al gehackt is, terwijl een patch nog niet voorhanden was.
09-03-2021, 14:55 door Anoniem
Nou, dat is even een een hele grote knauw in de reputatie van een "autoriteit".
Die club mag terug naar af en hun "autoriteit" inwisselen voor de term "comissie".
Ze staan duidelijk niet boven de materie en het Nationale bankwezen en kunnen het cohort van Europa brede scope dus niet aan.
Geeft meteen aan hoe duidelijk je niet van Microsoft Exchange moet willen zijn, hetgeen overigens niet van gisteren is.
Ook al biedt Exchange wel zo makkelijke autorisatie van IT apparaten, misschien niet zo handig als diezelfde apparaten geen dedicated devices zijn en ook met tele-vergader apps worden gebruikt zoals Zoom.
Apps waar investeerders met slechte reputatie achter zitten als het gaat om beveiliging als eerste prioriteit.
Lijkt me ook potentieel een mega gegevens lek dit.

......en heeft naar zeggen alle mogelijke voorzorgsmaatregelen genomen om persoonsgegevens en andere data te beschermen
dat is van andere categorie als een bakker die heeft geconstateerd dat er geen broden uit z'n zaak zijn gestolen.
Eenmaal toegang tot/langs de voordeur is replicatie van digitale middelen immers heel makkelijk / relatief slechter detecteerbaar dan verwijderen van gegevens.
Bij zo'n digitale inbraak figuurlijk gesproken ook geen extra meel / half-producten (geen meel) / hele producten (brood / gebak) verbruikt, dus je hebt deels niets aan het checken of er iets uit de inventaris-voorraad is weggenomen.
Doorgaans draaien die systemen continu, dus je zal niet per sé extra stroom verbruik, ruwe data verbruik e.d. detecteren.
Omdat een buitenstaander immers buiten de ingerichte toegang & gegevens-paden wist te geraken.
09-03-2021, 15:04 door Anoniem
je weet van sommige lekken dat je de patch niet eens moet afwachten.. bovendien, deze patch fixed in sommige instanties het lek niet eens (patch installeert wel zonder problemen en geeft aan ook geinstalleerd te zijn maar lost dan NIET het probleem op, dus heren/dames, checken of de patch ook daadwerkelijk werkt)...

Dit was een gevalletje critical-in-the-wild,.. dat betekent dat je simpelweg de boel moet uitzetten (of loskoppelen van internet), of dat je er iets VOOR zet, een IPS of een desnoods een postfix server of een van ebay gekochte baracuda.

Dit is internet..., dat wacht niet op je patchrond van 3 weken proefdraaien... dit was een bekend lek, die al lang en breed uitgemeten was in de community en die al actief misbruikt werd... dan kun je niet meer wachten tot maandagmiddag als iedereen bij elkaar gekomen is om na 3 uur vergaderen over de kleur van een loopbrug ook nog even in de laatste 2 minuten te hebben over een patch van exchange.
09-03-2021, 16:30 door Anoniem
Door Anoniem:
Dit was een gevalletje critical-in-the-wild,.. dat betekent dat je simpelweg de boel moet uitzetten (of loskoppelen van internet), of dat je er iets VOOR zet, een IPS of een desnoods een postfix server of een van ebay gekochte baracuda.
Voor zover ik begrepen heb zat het (belangrijkste) lek in de https service die een Exchange server erbij levert voor whatever.
Als je hem alleen voor mail gebruikt kun je alles behalve poort 25 inkomend dicht zetten en is http/https niet toegankelijk.
09-03-2021, 17:13 door Anoniem
Dit is internet..., dat wacht niet op je patchrond van 3 weken proefdraaien... dit was een bekend lek, die al lang en breed uitgemeten was in de community en die al actief misbruikt werd... dan kun je niet meer wachten tot maandagmiddag als iedereen bij elkaar gekomen is om na 3 uur vergaderen over de kleur van een loopbrug ook nog even in de laatste 2 minuten te hebben over een patch van exchange.
Prachtige laatste zin! Hilarisch!
09-03-2021, 18:03 door Anoniem
Exchange Online had voor velen mensen veel zorgen kunnen voorkomen...
09-03-2021, 20:47 door Anoniem
Door Anoniem: Exchange Online had voor velen mensen veel zorgen kunnen voorkomen...
Want ? behoort niet tot de monocultuur ?
10-03-2021, 14:09 door Anoniem
Door Anoniem: Exchange Online had voor velen mensen veel zorgen kunnen voorkomen...
Zorgen wel ja, maar problemen ook?
Waarom zou Exchange Online niet aan dezelfde bugs kunnen lijden als zelf gehoste Exchange?
Is dat een totaal ander code platform dan?
(zou me uiteraard niet verbazen als dat allemaal Linux was, maar ook niet als het gewoon Windows servers met een aangepaste versie van Exchange zijn)
10-03-2021, 14:59 door Anoniem
we snappen toch we dat de 'ja had je maar o365 en exchange online in the klauwdz gedaan' geen optie is voor organisaties die persoonsgegevens verwerken? al je e-mail content zit op andermans computer he en niets is zo verandelijk/verradelijk als afspraken/politiek/handel....
10-03-2021, 17:38 door Anoniem
Door Anoniem: Exchange Online had voor velen mensen veel zorgen kunnen voorkomen...

Want als het gehackt is, dan weet je het niet en kun je dit ook niet controleren.

"Of onze data secure is? Natuurlijk, want we hebben een SLA waar dat in staat."
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.