De Amerikaanse FBI verschaft zichzelf toegang tot kwetsbare Microsoft Exchange-servers en verwijdert daar achterpoortjes zonder medeweten van de slachtoffers. Zo hopen ze echt malafide hackers buiten te houden.
De FBI neemt het heft in eigen handen wat de bescherming van kwetsbare Exchange-servers betreft. Begin maart werd duidelijk dat de on-premises-versie van Microsoft Exchange zero day-lekken bevatte. Microsoft bracht vrij snel patches uit, maar niet voordat hackersgroeperingen zoals het aan China gelieerde Hafnium achterpoortjes kon plaatsen in getroffen servers. Eigenaars van kwetsbare servers bleken bovendien notoir slecht in het patchen van hun systemen, wat voor criminelen extra tijd en ruimte gaf.
De aanvallers maakten niet direct misbruik van hun toegang, maar probeerden via een web shell een toegangspoort te bouwen die ze op een later tijdstip konden misbruiken, ook wanneer het originele lek gepatcht werd. Het volstaat dus niet om een update voor de zero days te installeren; organisaties moeten ook opzoek gaan naar dergelijke web shells.
Proactief deuren sluiten
In de VS neemt de FBI nu ongeziene actie tegen de dreiging. De federale ordehandhavingsdienst van de VS gaat zelf proactief opzoek naar servers waar dergelijke web shells actief zijn. Vervolgens sluipen cyberexperts zelf via de achterpoort naar binnen, om ze dan toe te timmeren. De FBI beschermt met andere woorden organisaties zonder dat ze daar weet van hebben.
De Amerikaanse justitie laat weten dat de FBI via de web shell een commando naar de server stuurt dat de toegangspoort onklaar maakt. Dat kan omdat de web shell in kwestie een gekend uniek bestandspad gebruikt. Het is dus niet zo dat de FBI gaat rondneuzen in servers van organisaties. Momenteel richt de dienst zich enkel op achterpoortjes geïnstalleerd door Hafnium.
Precedent
De tussenkomst is een interessant precedent, zowel voor de VS als wereldwijd. Langs de ene kant werpt de interventie vragen op, aangezien ze zonder medeweten van organisaties gebeurt en toch betrekking heeft op hun hardware. Langs de andere kant zijn de acties van de FBI duidelijk nodig en nuttig. Wie vandaag nog niet de juiste actie heeft ondernomen voor zijn Exchange-server, gaat dat vermoedelijk morgen ook niet doen.