Home » AOD Pro » Kæmpe konsekvenser efter Microsoft Exchange-angreb
Kæmpe konsekvenser efter Microsoft Exchange-angreb

Kæmpe konsekvenser efter Microsoft Exchange-angreb

Share

Mindst 10 hackergrupper har udnyttet en sårbarhed i Microsoft Exchange server. Sikkerhedsekspert forudser et kæmpe oprydningsarbejde og mange langsigtede konsekvenser for flere hundrede virksomheder i Danmark

Tilbage i januar opdagede det danske sikkerhedsfirma Dubex nogle sårbarheder i Microsoft Exchange (e-mailserver), og chokerende nok det viste sig, at mindst 10 hackergrupper har været gang med at udnytte disse sårbarheder. Vi tager status på situationen, som den ser ud nu. Et er sikkert: Virksomheder over hele verden, også i Danmark, står over for et enormt oprydningsarbejde efter angrebet.

Denne hackersag har haft stor bevågenhed i medierne, og selvom ingen danske virksomheder endnu er stået frem, så er der ingen tvivl om, at også danske virksomheder er blevet ramt.

Flere hundrede danske er ramt

”Vi kan se på vores telemetridata, at vi har blokeret 10 hændelser i Danmark, og hvis vi skalerer det op, så betyder det, at der har været flere hundrede angreb mod danske virksomheder. Og det er næppe alle, der er eller har været i stand til at blokere angrebet,” fortæller Leif Jensen, CBO for sikkerhedsvirksomheden ESET Nordics til AOD PRO.

Omfanget af angrebene er ifølge Leif Jensen stort, og han forudser, at konsekvenserne for virksomhederne vil blive voldsomme, og at virksomhederne står over for et kæmpe, og langsigtet, oprydningsarbejde.

”Vi har kun set toppen af den oprydning, som virksomhederne står overfor. Fordi det handler om en Exchange Server, er det ikke bare et system, du kan slukke for i 14 dage. Du er nødt til at arbejde i et live miljø,” siger Leif Jensen.

Dertil kommer udfordringen med overhovedet at få et overblik over konsekvenserne. For er en virksomhed blevet ramt af angrebet, så har den, ifølge Leif Jensen, ikke været beskyttet, og så er den heller ikke i stand til at køre en analyse, der viser, hvordan den blev ramt – den har heller ikke værktøjerne til det.

Se også:  Pandemien bør ikke ændre den måde virksomheder sikrer sig på

”Så det kan komme til at tage lang tid, og samtidig er det ikke lige til at patche i et livemiljø,” fortæller Leif Jensen.

Han gætter på at vi kommer til at se dette angreb være aktivt mindst to måneder endnu, og at der ikke er nogen, der har et overblik over omfanget.

”Hackerne efterlader sig jo ikke logfiler, så det er et kæmpe detektivarbejde de er ude i,” forklarer Leif Jensen.

Et avanceret angreb

Samtidig har det ikke været noget simpelt angreb. Ifølge Leif Jensen så er sårbarheder af denne type ikke noget man falder over ved et tilfælde. Det har været nødvendigt med en meget stor og avanceret research for at finde denne sårbarhed, som ifølge Microsoft faktisk har eksisteret i adskillige år.

”Den slags sikkerhedshuller tager tid at finde. Man prøver sig frem, manuelt, og pludselig er der held i sprøjten. Derfor ser man typisk kun den slags fra grupper, der har rigtig mange ressourcer. Det er grupper, som ofte bliver tillagt at have forbindelse til stater, og hvis formål det er at spionere. Men det er også vigtigt at sige, at det ikke er bevist i dette tilfælde,” siger Leif Jensen.

Alvorlige konsekvenser

Ifølge Microsoft er angrebene sporet til en gruppe, der hedder Hafnium, det latinske navn for København. Den danske hovedstad har dog næppe noget med sagen at gøre. Gruppen stammer måske fra Kina (endda med tilknytning til statslige organisationer), men angriber via virtuelle servere i USA, så det er svært at vide med sikkerhed, hvem de er.

Se også:  Nu er Canon også ramt af kæmpe ransomware-angreb - flere services nede

Microsoft har siden 2. marts leveret flere patches og værktøjer, men der er stadig titusinder af servere verden over, som ikke er blevet patchet. Ifølge Bloomberg var 60.000 servere verden over ramt allerede 8. marts.

Selvom man kører Microsofts opdatering af Exchange Server, kan man ikke være sikker på, at der ikke ligger malware på den. Måske strækker angrebene sig tilbage til september sidste år. Microsoft har ifølge ZDNet udgivet et script på GitHub, som it-administratorer kan køre, og det omfatter blandt andet IOC’er (Indicators of Compromise) til de fire svagheder, angriberne retter deres angreb mod.

De fire angreb er rettet mod Microsoft Exchange 2019, 2016, 2013 og 2010 – teknisk har de fået betegnelserne CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 og CVE-2021-27065.

De giver hackergrupperne mulighed for eksempelvis at læse indholdet af brugernes mail, tilføje nye brugerkonti, lægge active directory-dataser på netværket, lægge alle mulige former for malware ind i systemet, læse eller stjæle data, flytte sig videre til andre dele af en virksomheds netværk og meget andet. Der bliver kort sagt åbnet en bagdør til mange af de informationer, man normalt ønsker at holde inden for en organisations egne rækker.

Historien er med andre ord ikke slut endnu – heller ikke her på AOD Pro, hvor vi følger udviklingen i den kommende tid.


TAGS
Microsoft
server
sikkerhed

DEL DENNE
Share


Mest populære
Populære
Nyeste
Tags

Find os på de sociale medier

Modtag dagligt IT-nyhedsbrev

Få gratis tech-nyheder i din mail-indbakke alle hverdage. Læs mere om IT-UPDATE her

Find os på FaceBook

AOD/AOD.dk

Brogårdsvej 22
DK-2820 Gentofte
Telefon: 33 91 28 33
redaktion@aod.dk

Audio Media A/S

CVR nr. 16315648,
Brogårdsvej 22
DK-2820 Gentofte
Telefon: 33 91 28 33
info@audio.dk
Annoncesalg:
Lars Bo Jensen: lbj@audio.dk Telefon: 40 80 44 53
Annoncer: Se medieinformation her


AOD/AOD.dk   © 2021
Privatlivspolitik og cookie information - Audio Media A/S