Gå til ecit.dk
Gå til forsiden for blog

ECIT om hackerangreb på Microsoft Exchange Server: Patch dine Exchange Servere omgående!

Skrevet af Josefine Andersen
Mar 12, 2021 12:20:16 PM

I denne artikel giver vi dig et indblik i den kritiske situation, der muligvis får omfattende konsekvenser for mange flere virksomheder, da det endnu ikke er alle, som har installeret de nyeste opdateringer og derved patchet sårbarhederne i Microsoft Exchange Server. Læs med når Christian Malerbakken, Senior Systemkonsulent hos ECIT i Norge, og Rasmus Veidiksen, CISO hos ECIT i Danmark, kommer med deres vurderinger af situationen samt bidrager med konkrete råd til, hvad man som virksomhed kan gøre, hvis man netop benytter sig af Microsoft Exchange Server.

 

Situationen – kort fortalt!

Den 2. marts 2021 udkom Microsoft med nye opdateringer, der havde til formål at patche fire hidtil ukendte sårbarheder i deres Exchange Server software. En opdatering, der på det kraftigste blev opfordret til omgående at installere, da de fire sårbarheder, også kaldet zero day exploits, viste sig aktivt at blive udnyttet i, det Microsoft selv karakteriserede som “limited and targeted attacks” foretaget af HAFNIUM, som af Microsoft vurderes til at være en kinesisk opererende, statsstøttet gruppe.

Sikkerheden i Microsoft Exchange Server afhænger med andre ord af, hvorvidt virksomhederne når at installere Microsofts opdateringer og derved patche sårbarhederne, inden disse udnyttes. Derfor er det endnu uvist, hvor mange, der er ramt, hvilket også forklarer, hvorfor antallet af virksomheder, som i sidste ende bliver påvirket, fortsat er stigende.

 

Hvem er udsat, og hvad er konsekvenserne?

Sårbarhederne ved Microsoft Exchange Server er henholdt On Premise-løsninger. Her påvirker sårbarheden til gengæld samtlige Exchange versioner, herunder; Microsoft Exchange Server 2010, 2013, 2016 og 2019. Der er derfor ikke tale om Exchange Online. Konsekvenserne ved et angreb afhænger ifølge Rasmus Veidiksen blandt andet af, hvor mange af sårbarhederne, der udnyttes:

”I værste fald kan der være tale om et “chained attack”, hvor flere af disse sårbarheder udnyttes. I sådan et tilfælde er det kun et spørgsmål om tid før det resulterer i et Ransomware-angreb eller en komplet overtagelse og dermed adgang til samtlige af virksomhedens data. Virksomheder, der aktivt gør en indsats for at skærpe IT-sikkerheden, vil her være betydeligt bedre stillet.”

Dette kan Christian Malerbakken tilslutte sig:

”Konsekvensen vil være, at hackere får adgang til alle virksomhedens mails. Vi har i første omgang set, hvordan dette har været målrettet større statslige virksomheder. Udover adgangen til virksomhedens mail er der dog også sandsynligheden for, at hackerne yderligere kan få adgang til alle virksomhedens data. Der er endnu ikke en kendt sag, hvor dette er tilfældet, men det kan sagtens ske.”

 

Hvad stiller du op som virksomhed?

Bruger du en af de ovennævnte løsninger, er budskabet fra både Christian Malerbakken og Rasmus Veidiksen klart og tydeligt: ”Patch dine Exchange Servere omgående,når Microsoft siger det!” Microsoft udsendte, som tidligere nævnt, denne opfordring den 2. marts. Da vi nåede frem til den 5. marts, var det fortsat kun 10 % af brugerne, der rent faktisk havde patchet deres Exchange Servere, som opfordret.

”Det er helt afgørende, at man får installeret de sikkerhedsopdateringer, Microsoft sender ud. Derudover er det selvfølgelig vores klare opfordring, at man opdaterer sine proaktive sikkerhedsløsninger, følger best practice og generelt holder sig opdateret, så man kan reagere i disse situationer. Hos ECIT reagerede vi hurtigt ved at nedsætte et Task Force, der gennemgik alle kunder samme aften som udmeldingen kom fra Microsoft.” - Christian Malerbakken.

I denne specifikke situation er det nødvendigt at reagere hurtigt, selv når IT-sikkerheden er i orden. Det er dog også en glimrende anledning til at kigge nærmere på, hvilke løsninger, der muligvis kunne have mindsket konsekvenserne i dette scenarie.

”Da angrebet brugte zero day exploits var selve angrebssignaturen ikke kendt og derved meget svær at detektere. Dog kan man gennem logmonitorering detektere de taktikker og teknikker, som hackerne brugte efterfølgende, da de ligner mange andre angreb. Det gjorde vi hos ECIT bl.a. gennem Microsofts SIEM løsning Azure Sentinel.” siger Rasmus Veidiksen, som tilføjer, hvordan IT-sikkerheden også kan højnes gennem mere generelle tiltag:

”Det er oplagt at gøre sin “lateral movement” svær. Det vil sige, at man ikke gør det nemt for en potentiel hacker at bevæge sig på tværs af netværket. Et eksempel kan være ved ikke at have sine loginoplysninger gemt i de forskellige systemer, man bruger. Derudover er det en god ide at kigge på den privilegerede adgang til systemer, der er internetvendt og samtidig sørge for at lave en skarp segmentering af sit netværk.”

 

Vil du høre mere?

Som det fremgår af denne artikel, er der en masse proaktive indsatser, der kan være med til at gøre det langt sværere for hackerne at finde vej til din virksomheds data. Her kan det også være en fordel at kigge ind i en outsourcing af IT-driften. Med ECIT som IT-leverandør, får du en samarbejdspartner, der altid har en finger på pulsen, hvad de seneste IT-tendenser og -nyheder angår, og som derfor også sætter ind med det samme, når vigtige opdateringer skal installeres. Derudover giver outsourcing af IT-driften den overvågning og sikkerhed, som din virksomhed har brug for.

Vil du høre mere, står vi hos ECIT klar til at hjælpe dig. Hvad enten der er tale om en specificering af hændelsesforløbet i Microsoft-sagen, eller du ønsker at tage en snak om din virksomhed IT-sikkerhed, så tøv ikke med at kontakte os.

Kontakt