Het beveiligingslek in Microsoft Exchange, de e-mail software die door miljoenen organisaties over de hele wereld wordt gebruikt, zorgde in de afgelopen dagen ook bij Nederlandse zorgorganisaties voor topdrukte bij de IT-afdelingen. Geen wonder: het lek is zo ernstig dat ook beginnende hackers met alleen je e-mail adres je complete e-mail archief kunnen downloaden. Dat komt omdat na het bekend worden van het lek, de manieren om het te misbruiken razendsnel overal op Internet werden verspreid.
De enige echte remedie tegen het beveiligingslek in één van de meest gebruikte e-mail servers ter wereld bestaat uit het installeren van updates die Microsoft op 2 maart wereldkundig maakte. Vanaf dat moment begon voor alle organisaties die Exchange gebruiken een race tegen de klok. Informatie over het lek was nu immers ook bij een groeiende groep hackers bekend, en die konden profiteren van de gaten in de beveiliging, zolang overheidsorganisaties, ziekenhuizen of gemeentes de update van Microsoft niet hadden geïnstalleerd. En in tegenstelling tot wat je zou denken, reageren IT-afdelingen met vertraging op de oproep van Microsoft, ook al stond hun voordeur inmiddels wagenwijd open.
Organisaties laten voordeur dagenlang open staan
Exchange Servers zijn bijna altijd via het internet te benaderen, omdat medewerkers overal hun e-mail moeten kunnen benaderen via Outlook, webmail of mobiele telefoons. Exchange Servers die toegankelijk zijn via het internet zijn door kwaadwillenden ook eenvoudig te vinden.
Afgelopen maandag, een week na de alarm-melding van Microsoft, liet het Nederlandse Cyber Security Centrum na eigen onderzoek weten dat op meer dan 40% van de Nederlandse Microsoft Exchange servers de beschikbare updates nog niet geïnstalleerd waren. Het was toen ook al duidelijk dat ook Nederlandse organisaties worden aangevallen via kwetsbaarheden in deze mailservers. Kwaadwillenden weten steeds sneller kwetsbare systemen te vinden en uit te buiten, aldus het NCSC.
Z-CERT: actief benaderen van organisaties met kwetsbare Exchange servers
Z-CERT, het expertisecentrum voor cybersecurity in de zorg, was toen al een week bezig om de meer dan honderd grote zorginstellingen in Nederland te waarschuwen voor de ernst van het lek en aan te dringen op een onmiddellijke installatie van de update. Dat was nodig, want er waren toen nog steeds zorgorganisaties die de update niet hadden geïnstalleerd, of geen passend onderzoek hadden gedaan naar mogelijk verder misbruik.
Wanneer je de update van Microsoft niet onmiddellijk na publicatie hebt geïnstalleerd, mag je er niet van uitgaan dat de aanvallers buiten de deur gebleven zijn. De meeste cyberspecialisten draaien het zelfs om: ga er van uit dat je aangevallen bent. Dus zelfs na installatie van de update moet je je systeem onderzoeken op sporen van hackers die misschien al binnen zijn geweest en mogelijk stiekem software voor toekomstige aanvallen hebben achtergelaten op je server.
Nederland was overigens niet uniek in de lakse houding. Palo Alto Networks, één van de grootste cybersecurity bedrijven ter wereld, liet dinsdagavond aan zijn klanten weten dat er wereldwijd nog zeker 125.000 ongepatchte servers gevonden waren, en drong ook aan op onmiddellijke installatie van de update en grondig onderzoek van de complete IT-omgeving. En de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en het Federal Bureau of Investigation (FBI) lieten afgelopen woensdag in een gezamenlijke waarschuwing weten dat zij een sterke toename in misbruik en inbraakpogingen zagen.
"Alle aangesloten zorginstellingen hebben update geïnstalleerd"
Gisteren liet een woordvoer van Z-CERT aan Smarthealth weten dat alle meer dan honderd aangesloten zorginstellingen inmiddels de update van Microsoft hadden geïnstalleerd, en actief op zoek waren naar mogelijk misbruik.
Dat onderzoek is niet eenvoudig, zegt Lieuwe Jan Koning, Chief Technology Officer van cybersecurity bedrijf ON2IT. “Het is met op Internet eenvoudig te vinden tools niet alleen mogelijk om complete e-mail servers over te nemen, maar ook om daarna je sporen uit te wissen. Hackers kunnen de informatie in gevonden e-mail archieven in de komende maanden rustig onderzoeken en gebruiken om een gerichte aanval op te zetten. Dat vraagt weer extra alertheid op onverwacht gedrag in je netwerk en systemen. Ook bij de recente Solarwinds lekken gebruikten hackers het eerste lek als een opstap naar meer geavanceerde inbraaktechnieken.
Naast data-diefstal risico op gijzelsoftware
Het is niet waarschijnlijk dat Nederlandse ziekenhuizen de hoogste prioriteit hebben van goed georganiseerde internationale cybercriminelen of staatshackers. Die richten zich eerder op organisaties waar veel waardevolle informatie te halen is, zoals overheden, inlichtingendiensten of de bedrijfsgeheimen van farmaceutische of technologie ondernemingen. Het probleem is dat lekken als die in de software van Microsoft ook kunnen worden gebruikt door hackers die gijzelsoftware installeren. Die persen organisaties af door backups te vernietigen en een kopie van alle data naar zichzelf te sturen. Pas na betaling van losgeld krijgen organisaties hun data terug. De ervaring leert dat juiste middelgrote zorgorganisaties, gemeenten of onderwijsinstellingen populaire doelwitten zijn voor deze hackers. Het moeten stilleggen van hun dienstverlening heeft een enorm impact, waardoor er een grotere bereidheid is om een ‘aanvaardbaar’ losgeld al dan niet met behulp van een verzekering toch te betalen.
Plaats een Reactie
Meepraten?Draag gerust bij!