ECIT om hackerangrep på Microsoft Exchange Server

Akkurat nå utnytter mange hackere sårbarhetene rundt e-post-, kalender- og samarbeidsløsningen Microsoft Exchange. Dette har allerede fått alvorlige konsekvenser for blant annet Stortinget, der hackere har fått tilgang til og lastet ned konfidensielle data.

I denne artikkelen gir vi deg et innblikk i den kritiske situasjonen som kan medføre store konsekvenser for mange selskaper, ettersom ikke alle enda har installert de siste oppdateringene og dermed patchet sårbarhetene i Microsoft Exchange Server. 

Situasjonen - kort fortalt!

2. mars 2021 kom Microsoft ut med nye oppdateringer med sikte på å patche fire hittil ukjente sårbarheter i deres Excange Server Software. En oppdatering alle ble sterkt oppfordret til å installere umiddelbart, da de disse sårbarheter, også kalt - 0-day Exploits, ble aktivt utnyttet i det Microsoft selv karakteriserte som "limited and targeted attacks" av  HAFNIUM, som av Microsoft anses å være en kinesisk opererende statsstøttet gruppe. 

Med andre ord avhenger sikkerheten til Microsoft Exchange Server at selskaper har tid til å installere Microsoft oppdateringer og dermed patche sårbarhetene før de blir utnyttet. Det er fortsatt ukjent hvor mange som er rammet eller vil bli rammet. 

Hvem er utsatt, og hva er konsekvensene? 

Sårbarhetene i Microsoft Exchange Server er basert på On Premise - løsninger. Her påvirker sårbarheten til gjengjeld samtlige Exchange versjoner, inkludert Microsoft Exchange Server 2010, 2013, 2016 og 2019. Det gjelder ikke for Exchange Online. I følge Rasmus Veidiksen avhenger konsekvensene av et angrep av hvor mange av sårbarhetene som blir utnyttet.

"I verste fall kan det være et "chained attack", der flere av disse sårbarhetene blir utnyttet. I et slikt tilfelle er det bare et spørsmål om tid før det resulterer i  et Ransomware-angrep eller en fullstendig overtagelse og dermed fri tilgang til alle selskapets data. Bedrifter som aktivt anstrenger seg for å stramme inn IT-sikkerheten vil være mindre sårbare." 

Christian Malerbakken er enig i dette.

"Konsekvensen blir at hackere vil ha tilgang til alle selskapers e-poster. Vi har innledningsvis sett hvordan dette er rettet mot større statseide virksomheter. I tillegg til tilgang til selskapets e-poster, er det imidlertid også sannsynlighet for at hackere kan få tilgang til alle selskapets data. Det er foreløpig ingen kjent sak der dette er tilfelle, men det kan lett skje."

Hvordan bidrar du med ditt selskap? 

Hvis du bruker en av løsningene ovenfor er meldingen fra både Christian Malerbakken og Rasmus Veidiksen klar:

"Patch  Exchange-serverne dine umiddelbart når Microsoft sier det!"

Som nevnt tidligere sendte Microsoft denne oppfordringen ut 2. mars. Den 5. mars var det kun 10% av brukerne som hadde patchet deres Exchange Server.

"Det er helt avgjørende at du får installert sikkerhetsoppdateringene som Microsoft sender ut. I tillegg er det selvfølgelig vår klare oppfordring at man oppdaterer sine proaktive sikkerhetsløsninger, følger best practice og generelt holder seg oppdatert slik at man kan handle raskt. Hos ECIT satte vi opp en arbeidsgruppe som gjennomgikk alle kunder samme natt som kunngjøringen kom fra Microsoft".

- Christian Malerbakken

I denne spesifikke situasjonen er det nødvendig å reagere raskt, selv når IT-sikkerhet er i orden. Imidlertid er det også en utmerket mulighet til å se nærmere på hvilke løsninger som kan minske konsekvensene. 

"Her er det ideelt for bedrifter å bruke en løsning som Azure Sentinel, som gir en mulighet til å oppdage trusler som er i omløp, og som også gjør dette mye raskere enn noen annen løsning", sier Rasmus Veidiksen, som legger til hvordan generell sikkerhet kan økes gjennom flere generelle tiltak:

"Lateral movement" vil si at man gjør det vanskeligere for en potensiell hacker å ta kontroll over nettverket. Et eksempel kan være at påloggingsinformasjonen din ikke er lagret i de forskjellige systemene du bruker. I tillegg er det en god ide å gå gjennom systemene som er internett-orienterte og samtidig sørge for en god segmentering av nettverket."

Vil du høre mer?

Som denne artikkelen viser er det mye proaktiv innsats som kan gjøre det mye vanskeligere for hackere å finne veien til bedriftens data. Her kan det også være en fordel å se på outsourcing av IT-drift. Med ECIT som IT-leverandør får du en partner som alltid kjenner på pulsen når det gjelder de siste IT-trender og nyheter, og som derfor også griper inn umiddelbart når viktige oppdateringer må installeres. I tillegg gir outsourcing av IT-drift overvåkning og sikkerhet virksomheten din trenger. 

Hvis du vil høre mer er vi i ECIT klare til å hjelpe deg, enten det er en spesifikasjon av hendelsesforløpet i Microsoft-saken, eller du vil snakke om selskapets IT-sikkerhet. Nøl ikke med å ta kontakt.

Les mer: Standard sikkerhet på din datamaskin