‘Hacks door Exchange-lek nemen explosief toe’

‘Hacks door Exchange-lek nemen explosief toe’

In de afgelopen paar dagen is het aantal aanvallen op de Exchange-kwetsbaarheden met een factor tien toegenomen. Nederland is een van de landen die het meest door de aanvallen is getroffen.

Dit blijkt uit onderzoek van cybersecuritybedrijf Check Point. Het bedrijf zegt in de periode van 11 tot 15 maart het aantal aanvallen op Exchange-servers te hebben zien toenemen van 700 tot 7200. De landen die het meest zijn geraakt zijn, zijn de VS, Duitsland, het VK, Nederland en Rusland.

20210315-exchangelanden

De aanvallers lijken het vooral gemunt te hebben op overheidsinstanties en het leger. Vermoedelijk bestaat deze categorie voornamelijk uit kleinere overheidsinstanties, zoals gemeentes. Andere takken die flink geraakt worden, zijn fabricage, financiën, softwareleveranciers en de gezondheidsindustrie.

20210315-exchangetakken

Informatie over kwetsbaarheden mogelijk van binnen Microsoft zelf

Microsoft vindt het opvallend dat het lijkt alsof de kwetsbaarheden pas worden uitgebuit sinds Microsoft bezig is ze op te lossen. De kwetsbaarheden waren immers al vele jaren onontdekt aanwezig in Exchange Server. Bovendien lijken er veel overeenkomsten te zitten tussen de proof-of-conceptcode die Microsoft met antivirusbedrijven heeft gedeeld en de code van een groot deel van de aanvallers.

Daarom vermoedt het bedrijf dat er gegevens zijn uitgelekt via het Microsoft Active Protections Program (Mapp). In dit programma deelt Microsoft informatie met een groep van 80 beveiligingsbedrijven. De beveiligingsbedrijven kunnen deze informatie gebruiken om aanvallen voor te kunnen zijn. Tien van deze bedrijven zijn Chinees. Volgens de Wall Street Journal heeft Microsoft naar een deel van deze 80 bedrijven ook informatie over de Exchange-kwetsbaarheden gestuurd. Of hier ook Chinese bedrijven tussen zitten, wil Microsoft niet met de krant delen.

Microsoft benadrukt dat er geen indicaties zijn dat er van binnen Microsoft gegevens gedeeld zijn. De Mapp-partners werken bovendien al lang samen met Microsoft en zouden ook in staat moeten zijn om kwetsbaarheden te ontdekken. “Als blijkt dat een Mapp-partner de bron van het lek was, dan komt die voor consequenties te staan voor het verbreken van de voorwaarden voor deelname aan het programma”, vertelt een Microsoft-woordvoerder in een e-mail tegen de WSJ.

Tip: Microsoft Exchange Server gehackt: wat zijn de gevolgen?