Contact

Nieuws

DataExpert IR in actie: Microsoft Exchange kwetsbaarheden

Op 2 maart jl. bracht Microsoft een patch uit voor vier zero-day kwetsbaarheden in Microsoft Exchange 2013/2016 & 2019. Door de kwetsbaarheid kunnen aanvallers de ingerichte authenticatie omzeilen en webShells* uploaden. Via die webShell is het mogelijk om extern toegang en controle op een server te krijgen, bestanden te stelen of juist malware te plaatsen zoals ransomware. Ook kan zo’n Shell als toegangspunt tot de rest van het netwerk worden gebruikt.

HAFNIUM (een bedreigingsactor geïdentificeerd door Microsoft Threat Intelligence Center [MSTIC] als een hackersgroep met ondersteuning van een oosterse natiestaat) bleek hier al misbruik van te hebben gemaakt. Daarnaast doken ook diverse criminele organisaties bovenop het lek. Veel organisaties hebben in de dagen daarop hun omgeving geüpdatet. Helaas bleek de update in sommige gevallen moeilijk uitvoerbaar en kwam het voor dat niet alle lekken werden gedicht.

Vanaf dat moment was het alle zeilen bijzetten voor het DataExpert Incident Response team; een MS Exchange QuickScan werd ingericht waarbij specialisten remote ondersteuning boden in het uitvoeren van de patch. Soms bleek het patchen niet goed te zijn uitgevoerd of niet geslaagd te zijn. Daarnaast werden er (pen)testen uitgevoerd op de omgeving en virusscanners en logs werden uitgeplozen om te zien of aanvallen succesvol waren geweest. Alles werd afgerond met een formeel rapport vanuit ons POB**.

We hebben in de afgelopen drie weken veel van dit soort trajecten uitgevoerd. Daaruit kunnen we helaas concluderen dat in 70% van de QuickScans sporen werden aangetroffen van aanvallen en servers die besmet waren. In ruim de helft van de gevallen bleek Digitaal Forensisch vervolgonderzoek nodig, omdat er mogelijk data was buitgemaakt (datalek) of juist malware (waaronder ransomware of coinminers) was geplaatst. Een groot risico voor de organisaties en hun bedrijfscontinuïteit! Ook deze onderzoeken zijn inmiddels bijna allemaal afgerond. Organisaties hebben technisch inzicht verkregen in welke data aanvallers hebben weten te benaderen, wat er met deze data is gebeurd en welke risico’s er nog in hun omgeving aanwezig waren. Ook zijn organisaties procesmatig geholpen in communicatiestukken, is er management assistentie verstrekt, advies gegeven over uitvoeren van melding Autoriteit Persoonsgegevens en aangifte bij politie.

Tot slot is het goed om te zien dat organisaties steeds meer de ernst van de situatie en de risico’s die een dergelijk lek met zich meebrengt voor de continuïteit van de business, erkennen. Het waren pittige weken maar met goede resultaten. We zijn trots op onze collega’s die bij veel organisaties de schade hebben weten te beperken!

Mocht u niet zeker zijn van uw omgeving, neem dan contact met ons op. 

*Een webShell is een kwaadaardige web gebaseerde interface die externe toegang en controle tot een webserver mogelijk maakt door het uitvoeren van willekeurige commando’s.

**Particulier Onderzoeksbureau

Deze website gebruikt cookies

We vinden het van groot belang dat u op de hoogte bent van welke cookies onze website inzet en voor welke doeleinden. Wij gebruiken Functional Cookies om onze website goed te laten functioneren. Daarnaast analyseren we d.m.v. Analytics Cookies het gebruik van onze website. Ook vragen we uw toestemming voor het plaatsen van cookies van derden (social media, advertising en analytics partners) waarmee we informatie delen. Door op ‘Accepteren’ te klikken, geeft u toestemming voor het plaatsen van de hiervoor genoemde cookies. Klikt u op ‘Instellingen’, dan wordt u geleid naar een pagina waar u kunt instellen welke cookies wel en niet geplaatst mogen worden. Klik hier voor onze privacyverklaring.