Nieuws

NCSC: Exchange-lek zorgt voor grote schade bij Nederlandse organisaties

dinsdag 16 maart 2021, 17:31 door Redactie, 16 reacties

Kwetsbaarheden in Exchange waardoor kwetsbare mailservers op afstand zijn over te nemen zorgen voor grote schade bij Nederlandse organisaties, zo stelt het Nationaal Cyber Security Centrum (NCSC) vandaag. Zo is er data van getroffen organisaties gestolen, zijn servers met malware besmet, backdoors geïnstalleerd en worden mailboxen te koop op internet aangeboden.

Op 2 maart bracht Microsoft noodpatches uit voor vier kwetsbaarheden in Exchange waarmee aanvallers kwetsbare systemen op afstand volledig kunnen overnemen. De beveiligingslekken worden wereldwijd op grote schaal misbruikt. Microsoft meldde vorige week dat er nog 83.000 Exchange-servers op internet zijn te vinden die kwetsbaar voor aanvallen zijn omdat ze de uitgebrachte beveiligingsupdates missen.

Volgens het NCSC zijn er in Nederland nog twaalfhonderd kwetsbare Exchange-servers te vinden waarop de beveiligingsupdates niet zijn geïnstalleerd en moet worden aangenomen dat al deze machines geïnfecteerd zijn. De organisaties achter deze Exchange-servers krijgen het advies om de updates zo snel mogelijk te installeren en te onderzoeken welke schade is aangericht.

Ook voor organisaties en bedrijven die de updates wel hebben uitgevoerd blijft de dreiging van een aanval aanwezig, aldus het NCSC. Voordat Microsoft de beveiligingsupdates op 2 maart uitrolde werd er namelijk al misbruik van de beveiligingslekken gemaakt, onder andere voor het installeren van backdoors. Zo kunnen aanvallers nog steeds toegang tot Exchange-servers houden, ook al zijn die inmiddels gepatcht.

Drie jaar cel voor Amerikaanse tiener die achter grote Twitteraanval zat

Populaire Instagram-accounts doelwit van 'copyright' phishingaanval

Reacties (16)

16-03-2021, 18:15 door Anoniem

Wat ik mij dan afvraag, ze weten dat er nog 1200 exchange servers lek zijn. Nemen ze dan ook contact op met die partijen?
Mailtje sturen of bellen is al voldoende zou je zeggen.

16-03-2021, 20:26 door Anoniem

Door Anoniem: Wat ik mij dan afvraag, ze weten dat er nog 1200 exchange servers lek zijn. Nemen ze dan ook contact op met die partijen?
Mailtje sturen of bellen is al voldoende zou je zeggen.

Vermoed dat vele organisaties hun ICT hebben uitbesteed, en door de wijdverspreide aanval nu op een lijstje staan om geholpen te worden.

Daarbij komt ook dat vele organisaties hun documentatie niet op orde hebben. Dus bij elke organisatie moet eerst bepaald worden of back-up systemen goed zijn ingeregeld, voordat een patch wordt uitgerold. Ook al is er een zgn. 'one-click' solution, het daadwerkelijke werk duurt meerdere uren (voorrij tarief, inventarisatie, actieplan, executie patch, acceptatie, administratie, etc.).

De externe ICT dienstverlenende organisaties draaien overuren, met leuk tarief.

17-03-2021, 00:06 door Anoniem

Door Anoniem:
Vermoed dat vele organisaties hun ICT hebben uitbesteed, en door de wijdverspreide aanval nu op een lijstje staan om geholpen te worden.

Daarbij komt ook dat vele organisaties hun documentatie niet op orde hebben.

Dat zal toch niet allebij tegelijk waar zijn??? Een reden om de ICT uit te besteden is (voor beleidsmakers) juist vaak dat men het idee heeft dat "men het zelf niet (meer) kan" en dat professionele dienstverleners juist zaken als documentatie veel beter regelen dan als je zelf een nerd aan het werk hebt.
Mocht in de praktijk blijken dat het bij uitbesteden evengoed niet voor elkaar is dan mag daar wel eens een goed gesprek over gevoerd worden!
Zeker als er ook nog eens zoveel kouwe drukte omheen gemaakt wordt als je voorrekent...

17-03-2021, 07:01 door Anoniem

Door Anoniem:

Door Anoniem: Wat ik mij dan afvraag, ze weten dat er nog 1200 exchange servers lek zijn. Nemen ze dan ook contact op met die partijen?
Mailtje sturen of bellen is al voldoende zou je zeggen.

mjaaaaanee.
Dat is allemaal een goed idee, maar liever geen exchange server dan eentje die gehacked is.
Uit, snapshot, aan, patchen. ja, je domain schema wordt bijgewerkt als je een stevig aantal CU's achterloopt, maar daar backup je over het algemeen ook slecht tegen, dit is er eentje van de klasse "Gewoon gaan"

Ik heb er 2 zelf mogen doen,en een stuk of 20 mogen begeleiden, meer dan de helft van de systeembeheerders dacht dat het wel goed zat omdat ze windows updates draaide.

17-03-2021, 08:37 door Anoniem

Voordat Microsoft de beveiligingsupdates op 2 maart uitrolde werd er namelijk al misbruik van de beveiligingslekken gemaakt, onder andere voor het installeren van backdoors

Je kan er dus vanuit gaan dat elk windowsgebaseerd bedrijf is gehackt.

17-03-2021, 09:07 door Anoniem

Door Anoniem: Wat ik mij dan afvraag, ze weten dat er nog 1200 exchange servers lek zijn. Nemen ze dan ook contact op met die partijen?
Mailtje sturen of bellen is al voldoende zou je zeggen.

mailtje sturen lijkt me niet zo handig :-D

17-03-2021, 09:16 door Anoniem

naast patching, wat inderdaad een behoorlijk projectje kan zijn, eerst kijken of je in ieder geval wat preventie, detectie en wat hunting kan doen op de IOCs. https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

FW, IDS/IPS, EPP, snadbox etc updaten/blacklisten met de inmiddels bekende hashes, IPs, DNS.. filepaths, tools

17-03-2021, 09:19 door Anoniem

Er zijn op dit moment ook treatscans / portscans op vulnerabilities die worden uitgezet en langskomen in logs. Wij hebben in het verleden ook wel eens een mail gehad van het CSIRT-DSP https://csirtdsp.nl/ vanwege een late patch op een exchange server in beheer.

17-03-2021, 09:33 door Anoniem

Door Anoniem: Wat ik mij dan afvraag, ze weten dat er nog 1200 exchange servers lek zijn. Nemen ze dan ook contact op met die partijen?
Mailtje sturen of bellen is al voldoende zou je zeggen.

Je weet toch dat MS alleen belt vanuit India? :D

17-03-2021, 10:35 door Anoniem

Door Anoniem:

Door Anoniem: Wat ik mij dan afvraag, ze weten dat er nog 1200 exchange servers lek zijn. Nemen ze dan ook contact op met die partijen?
Mailtje sturen of bellen is al voldoende zou je zeggen.

mailtje sturen lijkt me niet zo handig :-D
Je weet toch dat MS alleen belt vanuit India? :D

De exchange servers of de hele organisatie afsluiten van het internet totdat ze hun zaakjes op orde hebben.
Dat werkt veel sneller.

17-03-2021, 10:36 door Anoniem

Door Anoniem: Wat ik mij dan afvraag, ze weten dat er nog 1200 exchange servers lek zijn. Nemen ze dan ook contact op met die partijen?
Mailtje sturen of bellen is al voldoende zou je zeggen.

Niet denken dat dat niet gebeurt ...

Ook niet denken dat de toko's waar ze alle patch urgentie gemist hebben wel goed bereikbaar zijn en iets gaan doen als ze even een mailtje krijgen of de receptie een telefoontje krijgt ...

Dat is echt een leermoment als je een tijdje werkt - afleren te verwachten dat mensen zoals je zelf bent en je ICT klasgenoten overal waar een systeem staat werken.

17-03-2021, 11:33 door Anoniem

Vroeger werd ik bij Xs4all wel eens afgesloten omdat ik mijn MS small business server niet goed gepatched had en een fijne open relay was.
Zouden we niet zoiets ook moeten doen voor die Exchange servers? ze komen hoe dan ook denk ik op een blacklist?

17-03-2021, 11:56 door Anoniem

Door Anoniem:

joh naief hoor! die gespreken zijn er pas nadat het kalf....

17-03-2021, 16:28 door Anoniem

Door Anoniem: Vroeger werd ik bij Xs4all wel eens afgesloten omdat ik mijn MS small business server niet goed gepatched had en een fijne open relay was.
Zouden we niet zoiets ook moeten doen voor die Exchange servers? ze komen hoe dan ook denk ik op een blacklist?

ik ben benieuwd... waarom had je je MS small business server niet goed gepatched?

17-03-2021, 18:02 door Anoniem

Door Anoniem: Wat ik mij dan afvraag, ze weten dat er nog 1200 exchange servers lek zijn. Nemen ze dan ook contact op met die partijen?
Mailtje sturen of bellen is al voldoende zou je zeggen.

Ik snap dat zij een betaalde instantie zijn en geen vrijwilligers. Maar heb je ooit in je leven een responsible disclosure gedaan? Ik ben puur begonnen met BugBountyHunting omdat 90% van me disclosures in de wind geslagen worden. Ik heb zelfs meegemaakt dat ik een disclosure deed en dat 5 weken later een bedrijf gehackt was HvA/Surf (niet door mijn disclosure want alles was netjes pgp versleuteld, van bestanden tot mails.) Trouwens nog steeds geen gehoor van gekregen lol.

18-03-2021, 08:50 door Anoniem

Mijn OCD zegt dat dat niets met patchen, maar met configuratie te maken heeft.
sorry!

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer