Is mijn Microsoft Exchange server gehackt?
Zelf gehoste lokale Microsoft Exchange servers zijn kwetsbaar voor een zeroday-lek. Uit scans van beveiligingsonderzoekers is gebleken dat honderdduizenden systemen wereldwijd zijn getroffen en nog steeds getroffen worden. Deze staan daardoor open voor kwaadwillenden die er malware op installeren. De getroffen versies zijn Exchange Server 2013, 2016 en 2019.
Geupdatete systemen blijven kwetsbaar
Geüpdatete systemen zijn nog steeds kwetsbaar. In de tijd tussen het bekend worden van de kwetsbaarheid en het repareren daarvan installeren hackers zogenaamde web shells op de servers. Dit is op zich geen malware, maar deze software kan op een later moment alsnog het beheer van de server overnemen en malware, of ransomware installeren.
Wat kunt u zelf doen?
Schakel zo snel mogelijk de beheerder in van uw ICT-systemen. Zij zullen op de hoogte zijn van de te ondernemen stappen en zullen uw server patchen met de laatste Microsoft Updates. Indien u zelf uw servers beheert, heeft Microsoft hier een tool voor beschikbaar gesteld.
Laat een Microsoft Support Emergency Response Tool (MSERT) scan uit voeren op uw Microsoft Exchange Server. Hiermee wordt uw server gescand op de nieuwste bedreigingenwaarvan bekend is dat ze misbruik maken van de Exchange Server-kwetsbaarheden die op 2 maart 2021 zijn onthuld.
Draai extra anti virus scans om te detecteren of uw server is geinfecteerd met web shells, malware of ransomware. Let op, niet alle anti virus software herkent en reageert pro-actief op deze kwalijke DearCry ransomware software. Welke uw complete lokale omgeving kan gijzelen.
Bredere beveiligings software
Wij raden aan om zo snel mogelijk een proactief anti-virus programma voor servers te installeren, zoals Sophos Intercept X advanced EDR. Deze software scant niet alleen uw systemen op virussen, maar controleert pro-actief uw systemen en netwerkverkeer op verdachte activiteiten van webshells, malware en ransomware.
Stap over naar Microsoft 365
Een lokale omgeving zal altijd zorgen voor lokale kwetsbaarheden. Als u overstapt naar een oplossing van Microsoft 365, draaien al uw producten in de cloud en is uw Exchange server geen kwetsbare factor meer in uw lokale omgeving.
Achtergrondinformatie
Microsoft schrijft de hack met grote zekerheid toe aan een grote Chinese hackers, genaamd Hafnium. De zeroday-expoit maakt misbruik van vier kwetsbaarheden die toegang verlenen tot de admin van de server en de e-mailaccounts. Lees hier de blogpost van Microsoft met diepgaande informatie.
Heeft u vragen over de veiligheid van uw Exchange server?
Wij kunnen u helpen met updaten van uw systemen en het scannen van uw lokale omgeving. Neem contact met ons op op 088 7777 800. Onze specialisten zitten klaar om uw vragen te beantwoorden.