Microsoft Exchange-hack maakt noodzaak van betere emailbescherming duidelijk

Rick Goud
De afgelopen weken was er flinke paniek bij bedrijven die gebruik maken van Microsoft Exchange Server. Een groep cyberaanvallers, die door Microsoft de ‘Hafnium-groep’ wordt genoemd, misbruiken vier kwetsbaarheden in het server-netwerk. Men schat dat er maar liefst honderdduizenden organisaties getroffen zijn door de Microsoft Exchange-hack.

Begin maart  adviseerde Microsoft alle klanten dan ook met klem hun systemen onmiddellijk bij te werken met noodpatches. Wat zijn de risico’s van deze hack, en wat kunnen bedrijven doen om hun systemen en mail veilig te houden?

Wat is Hafnium en hoe gaan ze te werk?

Volgens Microsoft is de Hafnium-groep in China verantwoordelijk voor alle ellende. Zij misbruiken de vier zero-day kwetsbaarheden die in Microsoft Exchange Server zijn ontdekt. Tom Burt, vicepresident Customer Security & Trust bij Microsoft, melde op de site van Microsoft: "De aanvallen zijn uitgevoerd in drie stappen. In de eerste stap kreeg de aanvaller toegang tot een Exchange Server met gestolen wachtwoorden, of hij misbruikte het mogelijke lek om zich voor te doen als iemand die normaal gesproken legitiem toegang heeft tot het netwerk. In de tweede stap werd een zogenaamde webshell gecreëerd om de gecompromitteerde server op afstand te besturen. In de derde stap werd die externe toegang vanaf privéservers in de VS gebruikt om gegevens uit het netwerk van een organisatie te stelen."

Burt waarschuwt: "We hebben weliswaar snel een update voor de Hafnium-aanvallen beschikbaar gesteld, maar we weten dat staatshackers en andere criminele groepen snel in actie komen om ongepatchte systemen te misbruiken. De beste bescherming tegen deze aanval is het installeren van de nu beschikbare patches."

Waarom deze vier zero-day kwetsbaarheden belangrijk zijn

 Microsoft heeft details vrijgegeven over de onderstaande vier specifieke kwetsbaarheden en hun mogelijke impact. 
 

  • CVE-2021-26855            Server-Side Request Forgery (SSRF)       
  • CVE-2021-26857            Insecure Deserialization
  • CVE-2021-26858            Arbitrary File Write      
  • CVE-2021-27065            Arbitrary File Write

Deze vier kwetsbaarheden vormen samen een perfecte combinatie voor hackers om systemen aan te vallen. De hackers richtten zich aanvankelijk op bedrijven in de VS, maar dit had uiteindelijk ook gevolgen voor klanten over de hele wereld. Dus ook in Nederland. Daarom spoorde de Nederlandse overheid Microsoft klanten aan om de vereiste updates zo snel mogelijk te installeren.

Hoewel Microsoft maatregelen nam om de problemen op te lossen, is er al aanzienlijke schade aangericht. De ellende wordt nog groter omdat niet alle klanten hun systemen even snel patchen. Deze gefaseerde aanpak heeft als gevolg dat sommige systemen kwetsbaar blijven doordat hackers zich specifiek richten op organisaties die de patches nog niet hebben geïmplementeerd. Bovendien kunnen bedrijven met verouderde versies van Exchange geen patches meer installeren, wat de problemen nog vergroot.

 Organisaties moeten dit incident serieus nemen

Hier zijn enkele redenen waarom deze inbreuk belangrijk is en de gevolgen ingrijpend zijn: 
 

  • De aanval door de Hafnium-groep werd niet onmiddellijk opgemerkt en is nog niet voorbij, want veel organisaties hebben nog geen updates geïnstalleerd.
  • Gecompromitteerde systemen worden misschien niet eens als zodanig herkend, waardoor verdere (en mogelijk kostbare) beperkende maatregelen nodig zijn om alle dreigingen weg te nemen.
  • Dit is al de achtste keer in het afgelopen jaar dat Microsoft staatshackers ervan beschuldigt instellingen aan te vallen. Echter, deze specifieke aanval is bijzonder omvangrijk en geavanceerd. Dat is reden tot bezorgdheid en zou een voorproefje kunnen zijn van soortgelijke dreigingen.
  • De diefstal van intellectuele eigendom en e-mails kan voor een bedrijf grote gevolgen hebben en langdurige schade veroorzaken.

Wat de uiteindelijke gevolgen zijn en schade is van deze hack weten we nog niet, maar wat al wel duidelijk is dat dit soort zeer geavanceerde aanvallen in de toekomst vaker voor zullen komen. Nieuwe zero-day kwetsbaarheden zullen blijven opduiken, ook al worden er beveiligingsmaatregelen genomen om die aanvallen voor te blijven. En belangrijk: na het installeren van de noodpatches van Microsoft, moeten organisaties óók hun systemen onder de loep nemen om te kijken hoe hun e-mailgegevens in de toekomst beter beschermd kunnen worden.

Organisaties die denken dat slachtoffer zijn geworden van deze aanval, moeten het volgende doen: 

  1. Het systeem grondig controleren en zorgen voor afdoende back-ups.
  2. Wachtwoorden en gebruikersgegevens opnieuw instellen.
  3. Aangifte doen van het incident bij justitie en hun nationale gegevensbeschermingsautoriteiten.
  4. Hun systeem indien nodig herstellen of herinrichten.
  5. Op zoek gaan naar tools die deze risico's in de toekomst kunnen verminderen, zoals oplossingen voor de beveiliging van e-mailgegevens.

Hoe oplossingen voor de bescherming van e-mailgegevens zorgen voor betere beveiliging 

Als je de beveiliging van e-mailgegevens wil verbeteren zijn er een paar belangrijke aandachtspunten.

Om te beginnen versleutelen veel e-mailoplossingen op de eigen locatie opgeslagen gegevens, omdat gedacht wordt dat toch niemand toegang heeft tot data die op het eigen systeem is opgeslagen. Maar, zoals blijkt uit dit Microsoft incident, is toegang tot de server al genoeg om gevoelige e-mailgegevens in gevaar te brengen. Maar ook als organisaties gegevens wel versleutelen, voorkomt dat alleen problemen als iemand bijvoorbeeld een harde schijf zou stelen. Versleutelen op zich is niet voldoende, want het probleem met versleutelen is niet het versleutelen zelf maar het sleutelbeheer: wie heeft toegang tot de toegangssleutels en waar worden ze opgeslagen?

Op de meeste e-mailservers zijn toegangssleutels beschikbaar binnen dezelfde infrastructuur. Bijvoorbeeld als er eerst een wachtwoord wordt gemaild, en vervolgens de versleutelde e-mail waar het wachtwoord voor bedoeld is. Dan worden ze wel apart verstuurd, maar als de hacker toegang heeft tot de inbox, heeft hij toegang tot alle (ook de versleutelde) e-mails. Dat creëert een extra risicolaag. Want als niet alleen de server, maar ook de omliggende infrastructuur gecompromitteerd wordt, zoals het geval was bij Microsoft, lopen ook de gegevens van de organisatie gevaar. Zelfs als de informatie versleuteld was. De veiligste manier om e-mailgegevens te beschermen is dan ook het uitbreiden van uw e-mailgateway met gespecialiseerde oplossingen voor de bescherming van e-mailgegevens, zoals Gartner ze noemt. Die zorgen ervoor dat de toegangssleutels niet binnen dezelfde infrastructuur beschikbaar zijn als de gegevens.

Gestimuleerd door de AVG gebruiken organisaties steeds vaker technologie om digitale communicatie zoals e-mails of bestanden veilig te verzenden. Hiermee worden datalekken voorkomen en opgeslagen data beschermd. Dit soort oplossingen zou de Microsoft Exchange Server-hack natuurlijk niet voorkomen hebben. Maar het beschermen van gevoelige informatie door een verbeterde beveiligingslaag voor e-mailgegevens in te zetten, verlaagt het risico flink.

Door: Rick Goud

Rick Goud | CIO en oprichter van Zivver

Rick Goud is CIO van Zivver. Voordat hij Zivver mede oprichtte, werkte Rick zes jaar als zorgconsulent voor Gupta Strategists. Daar zag hij dat personeel vaak met talloze gevoelige gegevens werkt, zoals patiëntinformatie, bedrijfsprestaties en juridische documenten. Hij realiseerde zich dat er een sterke behoefte bestond aan een veilige communicatieoplossing om dergelijke gegevens te beschermen en te beheren, ook voor de naleving van de AVG. Vlak daarna werd Zivver geboren. https://www.zivver.com/

Bekijk alle artikelen van Rick