NCSC: veel Nederlandse Exchange-servers nog kwetsbaar
Veel organisaties in Nederland hebben hun mailsystemen nog niet beveiligd na de publieke bekendmaking van grote gaten in de beveiliging van Microsoft Exchange. Dat maakt die organisaties heel kwetsbaar voor cyberaanvallen, waarschuwt het Nationaal Cyber Security Centrum (NCSC). Maar liefst vier op de tien Nederlandse Exchange-mailservers zijn nog niet geüpdatet, meldt het NCSC.
Patchen en dan nog scannen
De cyberwaakhond van de overheid roept de organisaties op de kritieke patches zo snel mogelijk alsnog te installeren. Na het patchen moeten organisaties nog hun Exchange-omgevingen controleren. Eenmaal binnengekomen aanvallers kunnen namelijk web shells hebben 'achtergelaten' waarmee ze naderhand weer binnen kunnen komen. Dit geldt dus ook na eventueel patchen door kwetsbare organisaties.
Voor het scannen op deze achterdeuren heeft Microsoft herkenning hiervan toegevoegd aan zijn gratis Safety Scanner (ook bekend als Microsoft Support Emergency Response Tool, of MSERT). Daarnaast zijn er voor scanwerk op Exchange-compromittering ook PowerShell-scripts uitgebracht, door Microsoft zelf en door derden zoals het CERT (Computer Emergency Response Team) van Letland.
Resetten, herstellen, opnieuw inrichten?
Na het patchen, scannen en fixen staat beheerders eventueel nog een belangrijke taak te wachten. Als er sprake is van gecompromitteerde Exchange-servers is het zaak om alle wachtwoorden en gebruikersgegevens te resetten. Die inloginformatie kan dan immers in handen van onbevoegde derden zijn gevallen.
Het NCSC komt zelfs met de vergaande optie van het opnieuw inrichten van een getroffen Exchange-systeem. "Herstel uw systeem of richt dit opnieuw in", luidt stap 5 van de opeenvolgende punten bij de vraag 'Wat moet ik doen bij mogelijk misbruik?'. Stap 1 is het (laten) controleren van een systeem, en daarbij te zorgen voor "adequate backups". Stap 2 is de reset van inlogdata. Stap 3 is aangifte doen bij de politie. En stap 4 is "overweeg een melding te doen bij de Autoriteit Persoonsgegevens", aangezien het hier om een datalek kan gaan.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee