Microsoft: Dit moet je ècht doen na Exchange-patch om ellende te voorkomen

Heel veel beheerders van Exchange-servers hebben inmiddels wel begrepen dat het aanbrengen van de noodpatch die Microsoft begin maart uitbracht, van essentieel belang is. Maar daarmee is de kous niet af, waarschuwt Microsoft in een nieuwe blog van het Microsoft 365 Defender Threat Intelligence Team.

Vorige week werd duidelijk uit een tweet van Microsoft dat de inschatting is dat ongeveer 92% van de Exchangeservers inmiddels is gepatched. In de daarop volgende blog waarschuwt Microsoft dat de kans groot is dat gepatchte servers gecompromitteerd zijn, ondanks dat er nog geen tekenen van misbruik zijn. De criminelen kunnen zich heel goed nu koest houden om later tot actie over te gaan.

Microsoft deelt nu de ervaringen die zijn opgedaan in gevallen waar gepatchte servers toch zijn misbruikt. De doelwitten van de binnendringers zijn heel divers. In sommige gevallen gaat het gewoon om geldbeluste criminelen die bijvoorbeeld met ransomware hun slachtoffer tot betaling willen dwingen. Maar in andere gevallen gaat het om staatgesteunde hackergroepen die op zoek zijn naar gevoelige informatie.

Vier voorbeelden

Microsoft geeft als voorbeeld de inzet van de DoejoCrypt ransomware die al verschillende keren is ontdekt als 'tweede aanvalslijn' en wat daar tegen te doen. Dat geldt ook voor de installatie van het Lemon Duck botnet dat door cryptominers wordt ingezet om cryptocurrency te creëren en nog twee andere gevallen van misbruik van het netwerk via de gecompromitteerde Exchangeservers.

Must do's

Verder wijst het Microsoft 365 Defender Threat Intelligence Team op de tools die het bedrijf al beschikbaar heeft gesteld om het misbruik te ontdekken en waar mogelijk af te dekken. Daarnaast staat er een reeks algemene stappen in die Exchange-beheerders zo snel mogelijk moeten nemen wanneer aanwijzingen zijn voor verdachte activiteiten.