Inloggen Geen profiel? Registreer hier.

Vlaamse Overheid vraagt gemeenten om na te kijken of ze gehackt werden

15/03/2021

Het Crisiscentrum van de Vlaamse Overheid vraagt gemeenten die gebruik maken van een Microsoft Exchange Server om dringend na te gaan of er werd ingebroken op hun computersystemen. Dit naar aanleiding van verscheidene meldingen van hackingincidenten de afgelopen dagen en weken.

Al op 3 maart communiceerde V-ICT-OR over het beveiligingsprobleem met Microsoft Exchange Servers met een oproep aan gebruikers om de nieuwe security patches te installeren.

Hierover publiceerde ook het Centrum voor Cybersecurity een advies. Dat vindt u hier.

Nu vraagt de Vlaamse Overheid specifiek aan steden en gemeenten om na te kijken of zij gehackt werden. Hier vindt u alvast de aanbevelingen van Microsoft.

Wat is er exact aan de hand?

1. Alles is begonnen met een “nation-state” aanval, onder de naam Hafnium. Daarbij werden Exchange kwetsbaarheden gevonden en misbruikt. Na de aanval konden hackers toegang krijgen tot de Exchange omgevingen van organisaties en vervolgens toegang krijgen naar Administrator accounts en op die manier de omgeving verder infiltreren.

Om de kwetsbaarheden te verhelpen heeft Microsoft een aantal updates vrijgegeven op 2 maart 2021. Microsoft heeft ook een update vrijgegeven voor Exchange 2010, een versie die niet meer ondersteund wordt.

2. Sommige malafide groepen installeren “web shells” bij bedrijven, waardoor ze vanop afstand toegang en controle hebben via een online server. Zo kunnen ze als het ware een communicatielijn openhouden met de bedrijven om later een aanval te plaatsen. Het is dus zeer belangrijk om dergelijke zaken zo snel mogelijk op te sporen. Voor bedrijven die de Microsoft Defender oplossing niet hebben, heeft Microsoft een aparte tool gelanceerd die de web shells doeltreffend kan opsporen en verwijderen (zie de link hierboven).

3. In sommige gevallen zou het kunnen dat hackers naast de bewuste “web shells” andere malware hebben achtergelaten om op een latere termijn een aanval te plaatsen, bijv. ransomware. Daarom is het belangrijk dat de omgeving op alle mogelijke verdachte situaties onderzocht wordt.

Wat moeten organisaties zo snel mogelijk doen?

De systemen “patchen”, namelijk een klein stukje software installeren om de fouten op te lossen en/of updates uit te voeren;

1. Alle mogelijke web shells verwijderen;
2. Op onderzoek uitgaan naar dingen als verdachte gebruiker-logins in bestaande accounts, nieuwe accounts met verdacht veel rechten, verdacht uitgaand verkeer via http(s), automatische taken op Endpoints, enz. Dat zijn typische activiteiten van hackers om dichter bij de kroonjuwelen van bedrijven te komen.

Microsoft benadrukt dat de Exchange Online dienst niet is getroffen.  Exchange Online klanten die een hybride setup hebben of een On-Premises Exchange server voor administratieve toepassingen in dienst hebben, moeten wel onmiddellijk actie nemen.