Overslaan en naar de inhoud gaan

Microsoft: Dit moet je ècht doen na Exchange-patch om ellende te voorkomen

Beheerders van Exchange-servers kunnen niet op hun lauweren rusten na het aanbrengen van de patch tegen de recente zeroday-kwetsbaarheden. Microsoft geeft nieuw advies hoe kan worden nagegaan of criminelen zich hebben ingesloten, wachtend op een gunstig aanvalsmoment.
burnout
© Shutterstock
Shutterstock

Heel veel beheerders van Exchange-servers hebben inmiddels wel begrepen dat het aanbrengen van de noodpatch die Microsoft begin maart uitbracht, van essentieel belang is. Maar daarmee is de kous niet af, waarschuwt Microsoft in een nieuwe blog van het Microsoft 365 Defender Threat Intelligence Team.

Vorige week werd duidelijk uit een tweet van Microsoft dat de inschatting is dat ongeveer 92% van de Exchangeservers inmiddels is gepatched. In de daarop volgende blog waarschuwt Microsoft dat de kans groot is dat gepatchte servers gecompromitteerd zijn, ondanks dat er nog geen tekenen van misbruik zijn. De criminelen kunnen zich heel goed nu koest houden om later tot actie over te gaan.

Microsoft deelt nu de ervaringen die zijn opgedaan in gevallen waar gepatchte servers toch zijn misbruikt. De doelwitten van de binnendringers zijn heel divers. In sommige gevallen gaat het gewoon om geldbeluste criminelen die bijvoorbeeld met ransomware hun slachtoffer tot betaling willen dwingen. Maar in andere gevallen gaat het om staatgesteunde hackergroepen die op zoek zijn naar gevoelige informatie.

Vier voorbeelden

Microsoft geeft als voorbeeld de inzet van de DoejoCrypt ransomware die al verschillende keren is ontdekt als 'tweede aanvalslijn' en wat daar tegen te doen. Dat geldt ook voor de installatie van het Lemon Duck botnet dat door cryptominers wordt ingezet om cryptocurrency te creëren en nog twee andere gevallen van misbruik van het netwerk via de gecompromitteerde Exchangeservers.

Must do's

Verder wijst het Microsoft 365 Defender Threat Intelligence Team op de tools die het bedrijf al beschikbaar heeft gesteld om het misbruik te ontdekken en waar mogelijk af te dekken. Daarnaast staat er een reeks algemene stappen in die Exchange-beheerders zo snel mogelijk moeten nemen wanneer aanwijzingen zijn voor verdachte activiteiten.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in