Stilheden før Exchange-stormen: »Vi forventer, at danske virksomheder bliver angrebet inden for et par uger«
Mens danske virksomheder i skrivende stund kæmper for at finde ud af, om de er ramt af de fire nye Exchange-sårbarheder, og hvad det præcis betyder for dem, at deres systemer har været blottede i månedsvis, venter it-sikkerhedsvirksomheden Dubex på at den første kunde rammes af sårbarheden for alvor.
»Vi har en klar opfattelse af, at vi kommer til at se vores kunder blive angrebet inden for et par uger. Derfor ser vi det som en pligt at få så sagt så bredt som muligt, at det ikke er nok at patche - man skal aktivt ind og lede i ens infrastruktur,« siger CTO i Dubex, Jacob Herbst, til Version2.
Hans medarbejdere har allerede fundet flere bagdøre hos selskabets kunder. Bagdøre, der er placeret ved at udnytte de verdensomspændende Exchange-sårbarheder, Dubex var med til at finde i første omgang.
»Rundt regnet har en tredjedel af de Exchange-servere, vi har kigget på siden sårbarhederne blev kendt, haft de her webshells, der kan fungere som bagdøre. Derfor er det rigtig, rigtig vigtigt, at man kigger om der ligger noget i ens infrastruktur, der ikke skal være der. Risikoen er reel,« siger Jacob Herbst.
Exchange giver bred adgang
Også fra konkurrenten Improsec lyder det, at man er i fuld gang med at gennemtrawle kundernes systemer.
Jeg tolkede det mest som at maskinerne skulle bruges som adgang - derfor "...ikke lukke Exchange".
Hvis hele habenguttet allerede er kompromitteret så er der intet andet at gøre end at lukke alt ned.
Problemet kan opstå i virksomheder hvor Exchange er inficeret og hvor hackerne er hoppet videre til andre maskiner. Hvis de fx. har kunnet tilgå nettet med admin rights så er den en smal sag at inficere andre maskiner helt uden exploits. Alas, man må gætte på at netværk i butikker opfattes som usikre i butikskæder så computere på sådanne netværk kan nok ikke bruges til så meget.
Du lukker jo ikke Exchange i virksomheden fordi du sender folk hjem!
Vi har for eksempel arbejdet 100% selv om kontoret kun var åbent efter aftale - alle fik besked om at huske at tage deres laptops med hjem når de gik omkring 3. marts 2020 og når nedlukningen blev offentliggjort 11. ringede telefonerne i beredskabskæden med besked om at alle bliver hjemme indtil andet bliver udmeldt.
Naturligvis kan du lukke maskiner ned som ikke bruges - du kan for eksempel lukke netværksportene på switchen - hvis den del ikke er AD tilsluttet er det godt nok og hov, der var det igen: AD som det single point of failure som det reelt er - når det er kompromitteret ligger alt IT helt ned.
Kunne næsten forstille mig at en del maskiner bare har stået tændt imens alle butikker har været lukket uden at blive undersøgt så meget som en gang for opdateringer vi ser jo flere og flere sjuske og være dovne når det kommer til den slags sikkerhed
De eneste som for alvor kan afsløre det er Microsoft selv - medmindre naturligvis at hackerne selv vil specifikt udstille Microsoft.
Hackerne har jo som sådan mere gavn af ukendte huller for dem kan man malke i mange år.
Ja, jeg har ærligtalt også svært ved at have medlidenhed med de organisationer der bliver kompromitteret. Jeg har aldrig hørt et validt argument for at benytte ms i infrastrukturen, tvært imod. Hvis disse organisationer havde nogen form interesse i sikkerheden, havde de kørt RedHat el. lign. Efter NotPetya vil jeg mene at man ikke længere kan være uforvaret omkring risikoen (og man “burde” vide, at det bare er et spørgsmål om tid.).
Det bliver dog spænende at følge med i følgetonen. Mit gæt er at der snart bliver fundet alvorlige kompomiteringer af Azure og kundernes cloud infrastruktur, men det må tiden jo vise.
Som PHK engang skrev
installer noget andet end - Windows - Microsoft
Komprimeret? Med LZ77? Eller er det ikke lossless? Spændende. Aldrig hørt om et komprimeret firma ...
Igen: Hvad er dine indikationer på at Microsofts cloud version af Exchange er kompromiteret?
Åbn dine øjne og lyt.
Microsoft er selv komprimeret.
Det er en udtalelse du står ret alene med. Hvor har du det fra?
Selvfølgeligt kan der være fejl i cloud infrastrukturen. Men der er ingen indikationer på at clouden skulle være kompromiteret. Det er ret sandsynligt at kodebasen ikke er helt den samme.
Med mindre nogen har formået at inficere firmware på dit netværk. Eller printere. Eller brandalamer, airconditioning eller alt det andet skidt der har en IP adresse i dag.
Hele O365 er Kompromitteret, inkl. Azure.
Det har jeg også undret...
Det andet alternativ - langt værre - er at problemet har været kendt længe men Microsoft har ventet på at kunne bruge det til at flytte flere kunder fra on-prem til O365. Naturligvis regner jeg ikke med det for hele verden vil brænde Microsoft på bålet hvis det skulle være tilfældet.
Så kan du alligevel bare bøje dig helt ned og kysse din røv farvel - som man sagde dengang jeg var barn.
Det alternativ betyder nemlig at du skal:
For en lille virksomhed er det typisk et par dage, for en mellemstor et par uger og for en stor en måned - for meget store virksomheder kan det tage længere.
...men det gælder så uanset om du kører Windows eller UNIX (AIX/BSD/Linux/OS X/SOLARIS) for så er dit miljø generelt kompromiteret - processen er bare mere eller mindre langsommelig afh. af valgt OS.
Er det bevidst at O365 ikke er kompromitteret eller stoler man bare på hvad Microsoft siger? (ligesom man stolede på at SolarWinds havde styr på sikkerheden)
Men hvad hvis det ikke længere kun er exchange der er ramt? Hvis hackere allerede er videre på netværket?
Ja:
Ulideligt meget mere besværligt end med en Domino server men fuldt ud mulig løsning.
Alt2: Installer en helt anden server (ikke Windows + Exchange) og håb på at den kan indlæse backupen
Alt3: Flyt habenguttet til O365
Løsningen synes ligetil.
Luk alt adgang til internettet fra lokalnettet (DNS, HTTP, alt.). Lav evt. et seperat net til de ansattes telefoner m.m. og lad dem bruge de devices til internetadgang. Isoler Exchange servere på deres eget net. Hvis det er muligt så brug jumpservere til de få ting der skal på internettet eller lev uden. Forvent at alt kan være inficeret. Gør det i dag. Også selvom det koster at ting ikke virker.
Derefter kan man så gå igang med at se på en langsigtet strategi. Lige nu tikker uret ... ingen ved hvor mange og hvor hårdt vi kan blive ramt.