Nederlandse ministeries niet meer kwetsbaar voor hack via Exchange-lekken

Microsoft bracht begin maart noodpatches uit voor de vier lekken in Exchange Server 2010, die toen ook al actief misbruikt werden. Waarschijnlijk werden die aanvallen uitgevoerd door de Chinese hackersgroep Hafnium, die gelieerd zou zijn aan een statelijke actor, aldus Microsoft.

Het Belgische ministerie van Binnenlandse Zaken onderzocht vervolgens of de lekken in hun systemen ook daadwerkelijk misbruikt waren. Dat bleek het geval: er zijn sporen gevonden van een aanval die teruggaan naar het voorjaar van 2019. De hackers hadden als doel om te spioneren bij het ministerie, waar onder meer politiediensten, crisisbeheer en de organisatie voor verkiezingen onder vallen.

Nederlands onderzoek

Ook de Nederlandse ministeries gebruiken de Exchange-servers van Microsoft, en hebben onderzoek gedaan naar eventueel misbruik via de lekken, zo laat een woordvoerder van CIO Rijk, dat op ICT in het Rijk toeziet, desgevraagd aan AG Connect weten. Of er daadwerkelijk misbruik is geweest, meldt CIO Rijk echter niet. “Om de beveiliging van onze systemen niet in gevaar te brengen, doen we geen uitspraken over de inhoud van dergelijke onderzoeken”, aldus de woordvoerder.

Wel is duidelijk dat de ministeries de patches die Microsoft uitbracht hebben geïnstalleerd. “Het algemene beeld van de Rijksoverheid is dat de berichtgeving van Microsoft en het NCSC snel opgepakt is door de departementen en de uitvoeringsorganisaties, de patches voor kwetsbare systemen met urgentie zijn doorgevoerd en dat ook onderzoek naar misbruik is uitgevoerd. Dit is snel en succesvol verlopen.” Hoe snel na de release de patches geïnstalleerd werden, kon de woordvoerder niet zeggen.

Extra stappen nodig

Microsoft waarschuwde in maart al wel dat de kans groot is dat servers die gepatcht zijn gecompromitteerd zijn, zelfs als er nog geen tekenen van misbruik zijn. Het kan namelijk goed zijn dat de criminelen zich stilhouden en later pas op actie overgaan.

Het bedrijf wees in maart op tools die beschikbaar zijn gesteld om misbruik te ontdekken en waar mogelijk af te dekken. Ook heeft het bedrijf een reeks algemene stappen gedeeld die Exchange-beheerders zo snel mogelijk moeten nemen wanneer er aanwijzingen zijn voor verdachte activiteiten.