Cybersecurity
De Hafnium-hack

De Hafnium-hack

Verontrustend nieuws in de wereld van cybersecurity. Zwakheden in Microsoft Exchange servers zorgden ervoor dat hackers toegang kregen tot de servers, e-mails en agenda’s van een bedrijf. Hafnium, een groep hackers dat goed getraind is en op een gesofisticeerde manier te werk gaat vanuit China is de dader. In maart 2021 werd het bekendgemaakt en het zorgde voor een schok in de IT-wereld. Bedrijven bleken nog niet veilig na de patches, wat nu? 

Microsoft Exchange Servers

Talloze organisaties en bedrijven gebruiken MS Exchange, een mailsysteem met agendabeheer van Microsoft. On-premise Exchange Servers, oftewel fysieke servers van MS Exchange met versie 2010 tot 2019 werden getroffen. Servers in de Cloud ondervonden geen problemen. Door een kwetsbaarheid in dit systeem was het voor Hafnium mogelijk om binnen te dringen in bedrijfsnetwerken en e-mails verbonden met een MS Exchange server.  

De Hafnium-affaire

De kwetsbaarheden en gaten in het systeem van MS Exchange werden in januari opgemerkt door DEVORCE. Een groep dat geleid wordt door de Taiwanese beveiligingsonderzoeker Cheng-Da Tsai. Zij waren de kwetsbaarheden, de zogenaamde ProxyLogon, al vanaf december op het spoor. Helaas hadden kwaadwillenden deze kwetsbaarheden al veel eerder ontdekt. Microsoft wou de beveiligingsupdates op 9 maart lanceren, maar omdat er rond 26 februari veel backdoors geplaatst werden in een groot aantal kwetsbare servers, heeft Microsoft de patches al gepubliceerd op 2 maart. Tegen 5 maart waren duizenden Exchange Servers wereldwijd voorzien van backdoors door hackers.

Onderzoeken, back-up maken en opgelost?

Dat is bij zulke aanvallen helaas niet de oplossing. Wanneer er backdoors geïnstalleerd zijn in het systeem, zijn ze vaak niet terug te vinden. Zie het als een soort sluimerend virus dat zichzelf terug kan activeren. Indien je een back up zou maken, zou je deze backdoors terugplaatsen. Gebruik je Microsoft 365 volledig in de Cloud? Dan hoef je je geen zorgen te maken. Enkel on-premise Exhange servers zijn getroffen. 

Wat zijn de gevolgen van een aanval zoals deze?

Bij een aanval van dit kaliber is het moeilijk om op korte tijd te zeggen wat de gevolgen precies zullen zijn. Aangezien de aanval op grote schaal gebeurde, zijn er in de VS bijvoorbeeld al task forces opgesteld die de hack zullen onderzoeken. De installatie van Ransomware en het verkopen van gestolen gegevens behoren alvast tot de mogelijke gevolgen. 

Wat kan je doen?

De eerste stap is het gebruiken van de tools die Microsoft ter beschikking stelt op haar support-pagina. De laatste update, de laatste beveiligingspatch en de Microsoft Safety Scanner. Met deze scanner kan je malware vinden of zelfs verwijderen die gedetecteerd wordt op jouw Exchange server. Backdoors die alvast gekend zijn door Microsoft, kunnen op deze manier uitgeschakeld worden. Verder kan je op zoek gaan naar indicatoren die erop wijzen dat er verdachte activiteit plaatsvindt op jouw netwerk. Jouw IT-partner kan je hierbij ondersteunen en vervolgens een analyse maken. Ben je zeker dat je slachtoffer bent van de aanval? Dan kan je dat best melden aan het Centrum voor Cybersecurity België.

Cybersecurity en innovatie zijn nauw aan elkaar verbonden. Technologie groeit en versnelt, waardoor het moeilijk wordt om je als bedrijf te beschermen. Aanvallen zoals deze zullen frequenter voorkomen in de toekomst. Cloud-oplossingen zoals het Microsoft Azure-platform bieden constant beveiligingsupdates aan om zulke problemen te vermijden.  Weet je niet goed hoe je dat best aanpakt? Onze Managed Cloud services kunnen je daar mogelijk mee helpen.

Een reactie achterlaten

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *