Chinees Exchange-hack treft minderheid Belgische bedrijven

Stroomversnelling voor migratie

Het grote hack van Microsoft Exchange-servers maakt ook bij ons slachtoffers. Toch is het aantal organisaties dat kwetsbaar is voor de aanval beperkt.

Begin deze maand rolde Microsoft patches uit voor vier zero day-lekken in Microsoft Exchange. Jammer genoeg voor organisaties die gebruik maken van een on-premises of gehoste e-mailserver, was het eigenlijk al te laat. Hafnium, een collectief van malafide hackers gelinkt aan de Chinese overheid, buitte de achterpoortjes al uit. De lekken geven hackers toegang tot de mailservers, waar ze gevoelige data kunnen stelen of zelfs verder in het netwerk kunnen infiltreren. De patch van Microsoft dicht de zero day-lekken, maar smijt de hackers niet uit getroffen systemen wanneer het kwaad al geschied is.

De omvang van de aanval is enorm. Het lijkt er op dat Hafnium probeert om bij zoveel mogelijk kwetsbare servers binnen te raken om de toegang achteraf te misbruiken. Wereldwijd zijn er naar schatting 60.000 tot zelfs meer dan 100.000 organisaties getroffen. In België zouden er ongeveer 2.300 Exchange-servers draaien. Het CCB ontving intussen al aangiftes van drie slachtoffers, al ligt het aantal vermoedelijk hoger. Toch is het aanvalsoppervlak beperkt. Het gros van de Belgische organisaties maakt immers geen gebruik meer van Exchange op een eigen of gehoste server.

Belgische minderheid

“Bij ons zien we dat 90 procent van de bedrijven vandaag al Microsoft 365 / Exchange Online verkiest”, zegt Herwig Mertens, Operations Director bij ICT-serviceprovider VanRoey.be. “In recente voorstellen naar klanten in de kmo-markt maken we geen gebruik meer van Exchange on-premises aangezien de systeemvereisten de pan uit rijzen. De kostprijs van een on-premises-server wordt zo zwaar dat de maandelijkse kost voor Microsoft 365 / Exchange Online erbij in het niets valt.”

We zien dat 16 procent van de klanten die het beheer van hun IT-omgeving hebben uitbesteed nog Microsoft Exchange 2016 of 2019 draaien

Eric Primus, Sales Manager Managed Services bij Cheops

Bij Cheops draaien 16 procent van de klanten die het beheer van hun IT-omgeving hebben uitbesteed nog Microsoft Exchange 2016 of 2019. “Er zijn ook klanten die het beheer van hun omgeving en licenties in eigen handen houden”, nuanceert Eric Primus, Sales Manager Managed Services bij Cheops. “Hiervan weten we niet in welke mate ze nog Exchange gebruiken.” Dergelijke organisaties lopen over het algemeen een groter risico. “In de praktijk is het voor bedrijven die het beheer in eigen handen houden doorgaans moeilijker om het patchmanagement structureel aan te pakken.”

VanRoey merkt dat die partijen inderdaad extra hulp behoeven. “Klanten die enkel sporadisch beroep doen op consultancy bij ons, bellen nu wel voor assistentie. We beheren hun omgeving niet, maar ze vragen nu wel om te helpen en na te kijken of hun systemen niet getroffen zijn.”

(Voorlopig) beperkt aantal slachtoffers

Cheops heeft momenteel geen weet van klanten die getroffen zijn door het Hafnium-hack, VanRoey wel. Mertens: “Momenteel hebben we nog ongeveer 25 klanten die Exchange on-premises draaien. We hebben weet van twee klanten die getroffen zijn. In beide gevallen koos de klant er zelf voor om bepaalde redenen de update uit te stellen.”

Het valt Mertens op dat het lek in kwestie wel heel erg snel werd misbruikt. “Doorgaans gaat er toch een zekere tijd over de bekendmaking van een zero day-lek en effectief misbruik. In dit geval waren er binnen de 24 uur al zeer veel systemen gehackt en stonden er lijsten van kwetsbare systemen publiek.”

De Belgische ICT-dienstverleners waarmee we praatten geven aan dat ze zelf snel gereageerd hebben op het lek en de patches. “We hebben onze klanten de dag zelf verder geholpen”, vertelt Primus. “Bovendien hebben we alle bijkomende adviezen van Microsoft meteen toegepast.” Ook VanRoey heeft zijn Exchange-klanten meteen verder geholpen.

Ongerustheid en migratie

Het valt op dat de aanval voor een zekere ongerustheid zorgt bij de Belgische kmo’s. “We krijgen nu vooral vragen van klanten die Exchange Online gebruiken en zich afvragen of ze ook actie moeten ondernemen”, merkt Mertens. Gelukkig is dat niet het geval: de zero-day-lekken hebben geen betrekking op Exchange Online en Microsoft 365.

Klanten vragen om migraties naar Exchange Online versneld door te voeren.

Herwig Mertens, Operations Director bij ICT-serviceprovider VanRoey.be

Het voorval geeft een boost aan de migratie van on-premises of gehoste Exchange-servers naar Exchange Online. Die migratie was al een tijdje aan de gang. VanRoey verwacht bijvoorbeeld dat er van zijn 25 Exchange-klanten tegen het einde van het jaar nog maar tien overblijven. “De klanten vragen nu om migraties versneld door te voeren”, zegt Mertens.

Het gevaar van slecht beheerde installaties

Bedrijven die getroffen zijn maar nu snel actie ondernemen, hoeven nog niet te panikeren. Aanvallers focussen op de installatie van een bruggenhoofd voor toekomstige aanvallen. Wie snel de patches uitvoert en vervolgens de adviezen van Microsoft volgt om eventuele verdachte configuraties of malware te detecteren, stapt in principe relatief ongehavend weg van het voorval.

Het grootste risico zit zoals de serviceproviders aanhalen bij de kmo’s die Exchange zelf in eigen beheer gebruiken. Microsoft rolde een uitzonderlijke noodpatch uit voor oude niet meer ondersteunde versies van Exchange en dat illustreert meteen het probleem. Er is wereldwijd een significant aandeel van gebruikers die blij is met hun functionele mailserver en daar verder niet meer naar omkijkt. Die organisaties zijn erg slecht geplaatst om snel een antwoord te bieden op het hack. Voor hen is de kans het grootst dat het hele verhaal een staartje krijgt.

De Exchange-servers in beheer van providers zijn intussen allemaal gepatcht, die onbeheerde installaties niet. Beveiligingsbedrijf Palo Alto dat er wereldwijd op dit moment nog steeds meer dan 125.000 Exchange-servers online staan waarop de kritieke patches nog niet werden geïnstalleerd. Belgische cijfers deelt Palo Alto niet mee, maar in Duitsland zou het om meer dan 21.000 kwetsbare servers gaan en in Frankrijk om 5.100 servers.

Brave New World

De zero-day-lekken en de bijhorende aanval illustreren helaas enkele trends waarop grote cloudproviders en beveiligingsbedrijven al jaren hameren. Omwille van de connecties van Hafnium met China lijkt deze aanval opnieuw op een staatsgesponsorde campagne. Beveiligingsspecialisten waarschuwen al een tijdje dat dergelijke aanvallen alleen maar zullen toenemen.

lees ook

Microsoft rolt toch noodpatches voor niet meer ondersteunde Exchange-servers

Cloud- en serviceproviders stippen dan weer aan dat het in het huidige landschap niet vanzelfsprekend is om IT zelf te onderhouden. Ook dat punt wint de laatste dagen aan kracht. In ons land krijgen organisaties die Microsoft Exchange Online omarmen in de plaats van een eigen oplossing gelijk: zij kunnen deze storm aan zich laten passeren.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.