2min

Microsoft heeft te maken met een gigantische en actief uitgebuite kwetsbaarheid. Hierdoor zijn tienduizenden organisaties wereldwijd gehackt.

Het gaat om een kwetsbaarheid in Microsoft Exchange, schrijft Reuters. Aanvallers hebben het voor elkaar gekregen om via de kwetsbaarheid een backdoor te installeren op computers waar de software op geïnstalleerd was. Er is inmiddels een patch voor de kwetsbaarheid beschikbaar, maar die lost een eventueel geïnstalleerde backdoor niet op en bovendien hebben nog lang niet alle gebruikers de patch geïnstalleerd. Microsoft heeft ook een script gepubliceerd waarmee beheerders kunnen controleren of de kwetsbaarheid op hun systemen van toepassing zijn.

Tienduizenden organisaties geraakt

Reuters spreekt van 20.000 Amerikaanse bedrijven die mogelijk door dit lek geraakt zijn, waaronder kredietunies, stadsbesturen en mkb’ers. Ook in Azië en Europa zijn tienduizenden organisaties geraakt. Het gaat hierbij om organisaties die webversies van Outlook hadden draaien op hun eigen machines.

Volgens zowel Microsoft als de overheid van de Verenigde Staten zit China achter de aanval. Waar deze vermoedens op gebaseerd zijn, is niet duidelijk. Een woordvoerder van de Chinese overheid ontkent alle betrokkenheid bij de hack. In een blogpost heeft Microsoft de aanval de naam Hafnium gegeven. Het bedrijf vertelt dat het geen link ziet tussen Hafnium en de aanvallen op SolarWinds.

Mogelijk twee groepen achter de aanval

De aanval begon vorig jaar als een specifieke aanval op enkele gebruikelijke doelwitten voor spionage. De kwetsbaarheid is in de afgelopen maand echter een stuk breder uitgebuit. Beveiligingsambtenaren zien hier twee verklaringen voor: of de originele aanvallers hebben hun tactiek gewijzigd, of er is sprake van een tweede groep.

De bron van Reuters vertelt dat de hackers de backdoor gebruiken om opnieuw binnen te kunnen komen bij geïnfecteerde netwerken, vermoedelijk bij minder dan een tiende van de geraakte netwerken. Daar stelen ze gegevens en installeren ze nieuwe manieren om later opnieuw in te kunnen breken.

Na SolarWinds nu zelf middelpunt van een hack

Het is opvallend dat juist software van Microsoft wordt gebruikt wordt voor een dermate significante aanval. Microsoft publiceerde onlangs nog een tool waarmee bedrijven kunnen controleren of hun systemen zijn aangetast door de aanvallers achter de SolarWinds-hack.

In de aankondiging van die hack schepte het bedrijf nog op over hun eigen beveiligingsbeleid. Het schreef dat het altijd de definitieve versies van software controleert op malafide aanpassingen, voordat het naar servers en klanten wordt uitgerold. Nu was de kwetsbaarheid in Exchange geen gevolg van een inbraak van een externe partij, maar eerder van een programmeerfout binnen Microsoft, maar de timing kan zeker ironisch genoemd worden.