FBI hackt zelf Exchange-servers om ze te beschermen

Abonneer je gratis op Techzine!

De FBI heeft informatie gedeeld over het zelf hacken van lekke Exchange-servers. De inlichtingendienst verwijdert eventuele web shells die aanvallers hebben geplaatst om een backdoor te creëren.

In de aankondiging vertelt de FBI dat veel eigenaren van geïnfecteerde systemen al succesvol de web shells van duizenden computers verwijderd hadden. De inlichtingendienst zag echter dat honderden van deze web shells nog actief waren. Met de operatie wist de FBI de resterende web shells van één specifieke hackgroep te verwijderen. Ook werd er een kopie van de web shells gemaakt.

Vrijwel alle Exchange-servers waren kwetsbaar

De operatie volgt op het grote beveiligingslek dat in alle systemen aanwezig was die Exchange Server draaiden. Een exploit om toegangsrechten tot de kwetsbare servers te krijgen, werd breed gedeeld in hackercommunity’s, en de servers werden in hoog tempo gehackt. In veel gevallen installeerden de aanvallers aanvankelijk een web shell, die als backdoor diende om verder te graven in de systemen. Ook als beheerders de kwetsbaarheden hadden gedicht, konden de web shells achterblijven.

Alleen web shells verwijderd

De FBI verklaart dat deze web shells met de operatie succesvol zijn verwijderd. De inlichtingendienst voegt daar echter aan toe dat het zich niet heeft beziggehouden met het patchen van eventuele kwetsbaarheden en het verwijderen van andere malware die de hackers mogelijk geplaatst hebben. Daarom adviseert de inlichtingendienst de beheerders van de Exchange-servers nog nadrukkelijk om zelf alsnog de nodige stappen te nemen om hun systemen te beschermen.

Serverbeheerders in het ongewis

Voor zover bekend is het de eerste keer dat de FBI zijn middelen inzet om zelf in te breken bij kwetsbare systemen van eindgebruikers, met het doel om ze te beschermen. Vermoedelijk zijn veel beheerders er niet van op de hoogte dat de FBI in hun systemen actief is geweest. De FBI probeert met de beheerders contact op te nemen, waar mogelijk aan de hand van publieke contactinformatie. Als die informatie niet beschikbaar is, stuurt de inlichtingendienst een bericht naar de internetprovider van het slachtoffer in de hoop dat die het door kan sturen.

Veel tools voor oplossen problemen

Microsoft heeft een groot aantal mogelijkheden beschikbaar gemaakt om de lekken zelf op te lossen. Patches zijn al ruim een maand beschikbaar en Microsoft Defender beschikt nu over tools die automatisch malware kan verwijderen die door hackers is geplaatst. Ook als de patches eenmaal geïnstalleerd en eventuele malware verwijderd is, moeten beheerders op hun hoede blijven. Tijdens de Patch Tuesday van april zijn nog vier kritieke kwetsbaarheden in Exchange Server gedicht.

Tip: Microsoft Exchange Server gehackt: wat zijn de gevolgen?