Beheer

Security
patch

NCSC: veel Nederlandse Exchange-servers nog kwetsbaar

Kritieke noodpatches nog lang niet overal geïnstalleerd, constateert NCSC nu.

© Pixabay CC0 Public Domain
8 maart 2021

Kritieke noodpatches nog lang niet overal geïnstalleerd, constateert NCSC nu.

Vier op de tien Exchange-servers in Nederland zijn nog niet voorzien van de noodpatches die Microsoft vorige week heeft uitgebracht. Dit blijkt uit eigen onderzoek van het Nationaal Cyber Security Centrum, het IT-beveiligingsorgaan van de Nederlandse overheid. Zo snel mogelijk patchen, herhaalt het NCSC.

Veel organisaties in Nederland hebben hun mailsystemen nog niet beveiligd na de publieke bekendmaking van grote gaten in de beveiliging van Microsoft Exchange. Dat maakt die organisaties heel kwetsbaar voor cyberaanvallen, waarschuwt het Nationaal Cyber Security Centrum (NCSC). Maar liefst vier op de tien Nederlandse Exchange-mailservers zijn nog niet geüpdatet, meldt het NCSC.

Patchen en dan nog scannen

De cyberwaakhond van de overheid roept de organisaties op de kritieke patches zo snel mogelijk alsnog te installeren. Na het patchen moeten organisaties nog hun Exchange-omgevingen controleren. Eenmaal binnengekomen aanvallers kunnen namelijk web shells hebben 'achtergelaten' waarmee ze naderhand weer binnen kunnen komen. Dit geldt dus ook na eventueel patchen door kwetsbare organisaties.

Voor het scannen op deze achterdeuren heeft Microsoft herkenning hiervan toegevoegd aan zijn gratis Safety Scanner (ook bekend als Microsoft Support Emergency Response Tool, of MSERT). Daarnaast zijn er voor scanwerk op Exchange-compromittering ook PowerShell-scripts uitgebracht, door Microsoft zelf en door derden zoals het CERT (Computer Emergency Response Team) van Letland.

Resetten, herstellen, opnieuw inrichten?

Na het patchen, scannen en fixen staat beheerders eventueel nog een belangrijke taak te wachten. Als er sprake is van gecompromitteerde Exchange-servers is het zaak om alle wachtwoorden en gebruikersgegevens te resetten. Die inloginformatie kan dan immers in handen van onbevoegde derden zijn gevallen.

Het NCSC komt zelfs met de vergaande optie van het opnieuw inrichten van een getroffen Exchange-systeem. "Herstel uw systeem of richt dit opnieuw in", luidt stap 5 van de opeenvolgende punten bij de vraag 'Wat moet ik doen bij mogelijk misbruik?'. Stap 1 is het (laten) controleren van een systeem, en daarbij te zorgen voor "adequate backups". Stap 2 is de reset van inlogdata. Stap 3 is aangifte doen bij de politie. En stap 4 is "overweeg een melding te doen bij de Autoriteit Persoonsgegevens", aangezien het hier om een datalek kan gaan.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.