MICROSOFT EXCHANGE

Det europeiske banktilsynet er rammet av Exchange-angrepene

Prognosene for antallet angrepne virksomheter stiger stadig.

Den europeiske banktilsynsmyndighet har måttet stenge epostserverne etter å ha oppdaget at disse var blitt kompromittert.
Den europeiske banktilsynsmyndighet har måttet stenge epostserverne etter å ha oppdaget at disse var blitt kompromittert. Foto: European Banking Authority
Harald BrombachHarald BrombachNyhetsleder
9. mars 2021 - 05:00

Det er foreløpig ikke mange virksomheter som har stått fram og fortalt at de har blitt rammet av angrepene som nå herjer mot epostservere over hele verden, men Den europeiske banktilsynsmyndighet (European Banking Authority) er et unntak.

Søndag varslet banktilsynsmyndigheten at den har satt i gang full etterforskning av angrepet, samtidig som den har stengt ned epostsystemene inntil videre. 

Et mål for etterforskningen er å finne ut hvilke data, om noen, angriperne har fått tilgang til. Det kan blant annet dreie seg om personopplysninger. 

Flere titusen virksomheter er trolig rammet

Tallet for hvor mange virksomhet som er rammet av angrep som utnytter fire sårbarheter i epostserverprogramvaren Microsoft Exchange, øker stadig. Ifølge Bloomberg snakkes det nå om minst 60.000 ofre. Mer forsiktige prognoser antyder omtrent halvparten, noe som likevel er et stort antall.

Ifølge Microsoft har virksomheter innen en rekke sektorer blitt utsatt for slike angrep. Dette inkluderer blant annet forskningsinstitusjoner som jobber med smittsomme sykdommer, advokatfirmaer, utdanningsinstitusjoner, forsvarsleverandører, politiske tenketanker og ikke-statlige organisasjoner.

De aktuelle sårbarhetene ble offentlig kjent i forrige uke da Microsoft kom med en ekstraordinær sikkerhetsoppdatering til Exchange-produktene for å fjerne sårbarhetene. Sårbarhetene var allerede da aktivt utnyttet i angrep fra en statssponset hackergruppe kalt Hafnium, så beskjeden fra Microsoft var at oppdateringene burde installeres så raskt som overhodet mulig. 

Bakgrunn:

Microsoft lapper fire kritiske sårbarheter

Bjørn Riiber er tidligere president, nå styremedlem i Citrix User Group i Norge, en teknisk brukerforening som i fjor omdøpte seg til End User Computing Tech (CUGtech) for å gjenspeile en større bredde. Microsofts inntog med Azure Virtual Desktop har spilt en avgjørende rolle, også for karrierevalget hans.
Les også

Populær programvare kan bli dobbelt så dyr: – Mange spør hva pokker dette er

Logganalyse må til

Men det er ikke nok å installere sikkerhetsoppdateringen. Har angriperne allerede kommet seg inn, blir de ikke kastet ut bare ved at denne installeres. Angriperne installerer et såkalt webshell på serverne.

I praksis er dette en bakdør som kan brukes til å stjele eller plante data, eller å utføre andre handlinger som fører til ytterligere kompromittering av Exchange-serveren og tilknyttede systemer.

Alle virksomheter som drifter egne eller andres Exchange-servere må derfor kontrollere om uvedkommende har fått tilgang. Den anbefalte metoden er å skanne Exchange-loggfilene for å se etter kompromitteringsindikatorer.

Anbefalt verktøy

Microsoft beskriver i dette blogginnlegget hvordan dette kan gjøres ved hjelp av fire Powershell-kommandoer. Men selskapet har i tillegg utgitt et skriptbasert verktøy, Test-ProxyLogon.ps1, som automatiserer kjøringen av de fire kommandoene. 

Microsoft oppgir i det nevnte blogginnlegget en rekke eksempler på hvor webshell-bakdøren har blitt oppdaget i systemer som har blitt angrepet.

Dersom man oppdager slike filer på systemet, er det et tydelig tegn på at systemet har blitt kompromittert. Men det er liten grunn til å tro at det å fjerne disse filene vil løse problemet. Tvert imot er det nok senest på dette tidspunktet på tide å trykke på den store alarmknappen. 

Nye mobile trusler er funnet på nettet, denne gangen av det nederlandske sikkerhetsselskapet Threat Fabric.
Les også

Android-skadevaren kan stjele bankdata og ta over mobilen

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.