NCSC: veel Nederlandse Exchange-servers kwetsbaar
Vier op de tien Exchange-servers in Nederland zijn nog niet voorzien van de noodpatches die Microsoft vorige week heeft uitgebracht. Dit blijkt uit eigen onderzoek van het Nationaal Cyber Security Centrum, het IT-beveiligingsorgaan van de Nederlandse overheid. Zo snel mogelijk patchen, herhaalt het NCSC.
Vier op de tien Exchange-servers in Nederland zijn nog niet voorzien van de noodpatches die Microsoft vorige week heeft uitgebracht. Dit blijkt uit eigen onderzoek van het Nationaal Cyber Security Centrum (NCSC), het IT-beveiligingsorgaan van de Nederlandse overheid. Zo snel mogelijk patchen, herhaalt het NCSC.
Kwetsbaar voor cyberaanvallen
Veel organisaties in Nederland hebben hun mailsystemen nog niet beveiligd na de publieke bekendmaking van grote gaten in de beveiliging van Microsoft Exchange. Dat maakt die organisaties heel kwetsbaar voor cyberaanvallen, waarschuwt het NCSC. Maar liefst vier op de tien Nederlandse Exchange-mailservers zijn nog niet geüpdatet.
Patchen
De cyberwaakhond van de overheid roept de organisaties op de kritieke patches zo snel mogelijk alsnog te installeren. Na het patchen moeten organisaties nog hun Exchange-omgevingen controleren. Eenmaal binnengekomen aanvallers kunnen namelijk web shells hebben 'achtergelaten' waarmee ze naderhand weer binnen kunnen komen. Dit geldt dus ook na eventueel patchen door kwetsbare organisaties.
Voor het scannen op deze achterdeuren heeft Microsoft herkenning hiervan toegevoegd aan zijn gratis Safety Scanner (ook bekend als Microsoft Support Emergency Response Tool, of MSERT). Daarnaast zijn er voor scanwerk op Exchange-compromittering ook PowerShell-scripts uitgebracht, door Microsoft zelf en door derden zoals het CERT (Computer Emergency Response Team) van Letland.
Opnieuw inrichten?
Na het patchen, scannen en fixen staat beheerders eventueel nog een belangrijke taak te wachten. Als er sprake is van gecompromitteerde Exchange-servers is het zaak om alle wachtwoorden en gebruikersgegevens te resetten. Die inloginformatie kan dan immers in handen van onbevoegde derden zijn gevallen.
Melding doen
Het NCSC komt zelfs met de vergaande optie van het opnieuw inrichten van een getroffen Exchange-systeem. 'Herstel uw systeem of richt dit opnieuw in', luidt stap 5 van de opeenvolgende punten bij de vraag 'Wat moet ik doen bij mogelijk misbruik?'. Stap 1 is het (laten) controleren van een systeem, en daarbij te zorgen voor 'adequate backups'. Stap 2 is de reset van inlogdata. Stap 3 is aangifte doen bij de politie. En stap 4 is 'overweeg een melding te doen bij de Autoriteit Persoonsgegevens', aangezien het hier om een datalek kan gaan.
Dit bericht verscheen eerder op AG Connect.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.