Ruim tweeduizend Belgische organisaties hebben mogelijk een nieuw lek in hun Microsoft-mailserver nog niet gedicht. Dat meldt de Belgische cybersecurityspecialist Secutec, die samen met het Belgische Cert (Cyber Emergency Response Team) potentiële slachtoffers van het huidige lek in kaart brengt.
Het securitybedrijf monitort via een nieuwe techniek of er gegevens worden verzonden tussen de ip-adressen van gekende hackers en van de in totaal 2.178 Belgische bedrijven die de mailserver gebruiken.
De securityanalisten van Secutec brengen sinds de nacht van 29 op 30 september alle potentieel gevaarlijke verbindingen in kaart en rapporteren ze aan de Europese overheden waarmee Secutec samenwerkt. Dat gebeurt via het Zero Day Initiative, de samenwerkende organisaties die vorige week donderdag een nieuwe zero-day-kwetsbaarheid in de Exchange-mailserver van Microsoft hebben gevonden en gemeld hebben aan het softwarehuis. Zero-day-aanvallen gebruiken tot dusver ongekende beveiligingslekken. Ze kunnen cybercriminelen toegang geven tot het volledige netwerk van een bedrijf of organisatie.
Microsoft Exchange wordt ook in België door duizenden organisaties gebruikt om het e-mailverkeer van medewerkers in goede banen te leiden. ‘Sinds de Vietnamese cybersecurityspecialist GTSC vorige woensdag een blog heeft gepubliceerd over de nieuwe kwetsbaarheid, proberen hackers massaal via het lek binnen te dringen in de systemen van organisaties. Vier uur na de bekendmaking van het lek scanden reeds twaalf ip-adressen in de wereld naar potentiële slachtoffers met de kwetsbaarheid. Achtenveertig uur later scanden ruim honderd adressen continu naar het zero-day-lek’, meldt Secutec.
Geen patch
‘Tot vrijdag 30 september hebben we ruim 300.000 verbindingen waargenomen tussen hackers en Belgische ip-adressen’, zegt Geert Baudewijns van de Belgische cybersecurityspecialist Secutec. ’In de eerste 24 uur na de bekendmaking van deze zero-day-kwetsbaarheid hebben we bij vier Belgische bedrijven uiterst verdacht verkeer vastgesteld. We merken dat Duitse en Oostenrijkse bedrijven meer onder vuur liggen. De cyberbeveiliging aldaar staat er minder ver dan in ons land.’
Volgens Secutec hebben alle grote bedrijven in België consequent hun infrastructuur aangepast in de loop van vrijdag en zaterdag. Er is nog geen patch voorhanden, maar wel een workaround die ervoor zorgt dat hackers geen aanvallen kunnen uitvoeren op de kwetsbare Exchange-server. ‘Onze grote zorg gaat uit naar de meer dan duizend kleinere bedrijven die de workaround nog niet toepasten’, zegt Baudewijns. ‘We verwachten in deze doelgroep een gevoelige stijging van ransomwaregevallen, omdat kleinere organisaties bijna geen gebruikmaken van multi-factorauthenticatie en ook hun wachtwoorden onvoldoende vernieuwen.’
Secutec stelt op het darknet vast dat hackers en ransomware-organisaties reeds massaal actief gestolen wachtwoorden aankopen. Om via de kwetsbaarheid binnen te dringen, moet de hacker op de Exchange-server van het slachtoffer aangemeld zijn als een gewone gebruiker.
