Just nu utnyttjar många hackare de sårbarheter som råder kring e-postsystemet Microsoft Exchange. Sårbarheterna har redan fått allvarliga konsekvenser för bland annat det norska parlamentet, Stortinget, där hackare har utnyttjat sårbarheten och fått tillgång till och laddat ner konfidentiella uppgifter.
I det här blogginlägget ger vi dig en inblick i den kritiska situation som kan få långtgående konsekvenser för många företag, eftersom inte alla ännu har installerat de senaste uppdateringarna och därmed korrigerat sårbarheterna i Microsoft Exchange Server.
Läs när Christian Malerbakken, Senior Systemkonsult på ECIT i Norge och Rasmus Veidiksen, CISO på ECIT i Danmark, ger sina bedömningar av situationen och bidrar med konkreta råd om vad du som företag kan göra om du bara använder Microsoft Exchange Server.
Situationen – i korthet
Den 2 mars 2021 släppte Microsoft nya uppdateringar som syftade till att korrigera fyra hittills okända sårbarheter i deras Exchange Server-programvara. En uppdatering som starkt rekommenderades att installera omedelbart, eftersom de fyra sårbarheterna, även kallade zero day exploits, utnyttjades aktivt i vad Microsoft själv karakteriserade som "begränsade och riktade attacker" av HAFNIUM som av Microsoft anses vara en kinesisk operativ, statligt sponsrad grupp.
Med andra ord beror säkerheten i Microsoft Exchange Server på om företag har installerat Microsoft uppdateringar och därmed korrigerat sårbarheterna innan de utnyttjas. Därför är det fortfarande okänt hur många som påverkas, vilket även förklarar varför antalet företag som i slutändan berörs fortsätter att öka.
Vem är utsatt och vad är konsekvenserna?
Sårbarheterna i Microsoft Exchange Server är baserade på On Premise lösningar. Här påverkar i sin tur sårbarheten alla Exchange-versioner, inklusive: Microsoft Exchange Server 2010, 2013, 2016 och 2019. Det är därför ingen fråga för Exchange Online. Enligt Rasmus Veidiksen beror konsekvenserna av en attack bland annat på hur många sårbarheter som utnyttjas:
"I värsta fall kan det vara en “chained attack", där flera av dessa sårbarheter utnyttjas. I ett sådant fall är det bara en tidsfråga innan det resulterar i en Ransomware attack eller en fullständig övertagande och därmed tillgång till all företagets data. Företag som aktivt anstränger sig för att skärpa IT-säkerheten kommer att ha det betydligt bättre här. ”
Christian Malerbakken håller med om detta:
”Konsekvensen blir att hackare kommer att ha tillgång till alla företagets e-postmeddelanden. Vi har inledningsvis sett hur detta har riktats till större statligt ägda företag. Förutom åtkomst till företagets e-post är det dock också sannolikheten att hackare kan komma åt alla företagets data ytterligare. Det finns ännu inte ett känt fall där detta är fallet, men det kan lätt hända."
Vad gör du som företag?
Om du använder någon av ovanstående lösningar är meddelandet från både Christian Malerbakken och Rasmus Veidiksen tydligt: "Patcha dina Exchange-servrar omedelbart när Microsoft säger det!". Som nämnts tidigare utfärdade Microsoft detta råd den 2 mars. När vi kom fram till den 5 mars hade endast 10% av användarna faktiskt patchat sina Exchange servrar, enligt begäran.
"Det är helt avgörande att du får de säkerhetsuppdateringar som Microsoft skickar ut installerade. Dessutom är det naturligtvis vår tydliga uppmaning att du uppdaterar dina proaktiva säkerhetslösningar, följer bästa praxis och i allmänhet håller dig uppdaterad så att du kan reagera i dessa situationer. På ECIT svarade vi snabbt genom att inrätta en arbetsgrupp som granskade alla kunder samma natt som meddelandet kom från Microsoft. ” - Christian Malerbakken.
I denna specifika situation är det nödvändigt att reagera snabbt, även när IT-säkerheten är i ordning. Det är dock också ett utmärkt tillfälle att titta närmare på vilka lösningar som kan ha mildrat konsekvenserna i detta scenario.
"Då attacken kom var själva attackens signatur inte känd och därför mycket svår att upptäcka. Men genom loggövervakning kan man upptäcka de taktiker och tekniker som hackarna använde senare, eftersom de liknar många andra attacker. Vi gjorde det bland annat på ECIT genom Microsofts SIEM-lösning Azure Sentinel.” säger Rasmus Veidiksen, som tillägger hur den allmänna säkerheten kan ökas genom mer allmänna åtgärder:
Det är uppenbart att göra deras ”lateral movement ” svår. Det vill säga att man inte gör det enkelt för en potentiell hackare att flytta sig tvärs över nätverket. Ett exempel kan vara att inloggningsinformation inte är sparad i de olika system man använder. Dessutom är det en bra idé att titta på den privilegierade tillgången till system som är internetorienterade och samtidigt se till att göra en skarp segmentering av sitt nätverk.”
Vill du veta mer?
Som det här blogginlägget visar finns det många proaktiva insatser som kan gör det svårare för hackare att hitta ditt företags data. Här kan det också vara en fördel att undersöka outsourcing av IT-driften.
Med ECIT som IT-leverantör får du en partner som alltid följer de senaste IT-trenderna och nyheterna och som därför också ingriper omedelbart när viktiga uppdateringar behöver installeras.
Dessutom ger outsourcing av IT-drift den övervakning och säkerhet som ditt företag behöver. Om du vill höra mer är vi på ECIT redo att hjälpa dig idag.
Oavsett om det är en specifikation av händelseförloppet i Microsoft-fallet, eller om du vill prata om ditt företags IT-säkerhet, tveka inte att kontakta oss på ECIT.