Stilheden før Exchange-stormen: »Vi forventer, at danske virksomheder bliver angrebet inden for et par uger«

Stilheden før Exchange-stormen: »Vi forventer, at danske virksomheder bliver angrebet inden for et par uger«
Illustration: Shodan, Dubex.
Trods patching vrimler det med bagdøre hos danske virksomheder, der er berørt af Exchange-angrebet.
15. marts 2021 kl. 17:00
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Mens danske virksomheder i skrivende stund kæmper for at finde ud af, om de er ramt af de fire nye Exchange-sårbarheder, og hvad det præcis betyder for dem, at deres systemer har været blottede i månedsvis, venter it-sikkerhedsvirksomheden Dubex på at den første kunde rammes af sårbarheden for alvor.

»Vi har en klar opfattelse af, at vi kommer til at se vores kunder blive angrebet inden for et par uger. Derfor ser vi det som en pligt at få så sagt så bredt som muligt, at det ikke er nok at patche - man skal aktivt ind og lede i ens infrastruktur,« siger CTO i Dubex, Jacob Herbst, til Version2.

Hans medarbejdere har allerede fundet flere bagdøre hos selskabets kunder. Bagdøre, der er placeret ved at udnytte de verdensomspændende Exchange-sårbarheder, Dubex var med til at finde i første omgang.

»Rundt regnet har en tredjedel af de Exchange-servere, vi har kigget på siden sårbarhederne blev kendt, haft de her webshells, der kan fungere som bagdøre. Derfor er det rigtig, rigtig vigtigt, at man kigger om der ligger noget i ens infrastruktur, der ikke skal være der. Risikoen er reel,« siger Jacob Herbst.

Exchange giver bred adgang

Også fra konkurrenten Improsec lyder det, at man er i fuld gang med at gennemtrawle kundernes systemer.

Log ind og få adgang
Du kan læse indholdet ved at logge ind eller oprette dig som ny bruger.
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
19
21. marts 2021 kl. 19:27

Problemet kan opstå i virksomheder hvor Exchange er inficeret og hvor hackerne er hoppet videre til andre maskiner. Hvis de fx. har kunnet tilgå nettet med admin rights så er den en smal sag at inficere andre maskiner helt uden exploits.

Jeg tolkede det mest som at maskinerne skulle bruges som adgang - derfor "...ikke lukke Exchange".

Hvis hele habenguttet allerede er kompromitteret så er der intet andet at gøre end at lukke alt ned.

18
21. marts 2021 kl. 14:39

Du lukker jo ikke Exchange i virksomheden fordi du sender folk hjem!

Problemet kan opstå i virksomheder hvor Exchange er inficeret og hvor hackerne er hoppet videre til andre maskiner. Hvis de fx. har kunnet tilgå nettet med admin rights så er den en smal sag at inficere andre maskiner helt uden exploits. Alas, man må gætte på at netværk i butikker opfattes som usikre i butikskæder så computere på sådanne netværk kan nok ikke bruges til så meget.

17
20. marts 2021 kl. 10:41

Kunne næsten forstille mig at en del maskiner bare har stået tændt imens alle butikker har været lukket uden at blive undersøgt så meget som en gang for opdateringer vi ser jo flere og flere sjuske og være dovne når det kommer til den slags sikkerhed

Du lukker jo ikke Exchange i virksomheden fordi du sender folk hjem!

Vi har for eksempel arbejdet 100% selv om kontoret kun var åbent efter aftale - alle fik besked om at huske at tage deres laptops med hjem når de gik omkring 3. marts 2020 og når nedlukningen blev offentliggjort 11. ringede telefonerne i beredskabskæden med besked om at alle bliver hjemme indtil andet bliver udmeldt.

Naturligvis kan du lukke maskiner ned som ikke bruges - du kan for eksempel lukke netværksportene på switchen - hvis den del ikke er AD tilsluttet er det godt nok og hov, der var det igen: AD som det single point of failure som det reelt er - når det er kompromitteret ligger alt IT helt ned.

16
17. marts 2021 kl. 13:22

Kunne næsten forstille mig at en del maskiner bare har stået tændt imens alle butikker har været lukket uden at blive undersøgt så meget som en gang for opdateringer vi ser jo flere og flere sjuske og være dovne når det kommer til den slags sikkerhed

12
17. marts 2021 kl. 08:37

Ja, jeg har ærligtalt også svært ved at have medlidenhed med de organisationer der bliver kompromitteret. Jeg har aldrig hørt et validt argument for at benytte ms i infrastrukturen, tvært imod. Hvis disse organisationer havde nogen form interesse i sikkerheden, havde de kørt RedHat el. lign. Efter NotPetya vil jeg mene at man ikke længere kan være uforvaret omkring risikoen (og man “burde” vide, at det bare er et spørgsmål om tid.).

Det bliver dog spænende at følge med i følgetonen. Mit gæt er at der snart bliver fundet alvorlige kompomiteringer af Azure og kundernes cloud infrastruktur, men det må tiden jo vise.

11
17. marts 2021 kl. 01:23

Som PHK engang skrev

installer noget andet end - Windows - Microsoft

9
17. marts 2021 kl. 00:40

Åbn dine øjne og lyt.

Microsoft er selv komprimeret.

8
16. marts 2021 kl. 21:41

Hele O365 er Kompromitteret, inkl. Azure.

Det er en udtalelse du står ret alene med. Hvor har du det fra?

Er det bevidst at O365 ikke er kompromitteret eller stoler man bare på hvad Microsoft siger? (ligesom man stolede på at SolarWinds havde styr på sikkerheden)

Selvfølgeligt kan der være fejl i cloud infrastrukturen. Men der er ingen indikationer på at clouden skulle være kompromiteret. Det er ret sandsynligt at kodebasen ikke er helt den samme.

wipe diskene fra en CD/DVD
reformattere diskene

Med mindre nogen har formået at inficere firmware på dit netværk. Eller printere. Eller brandalamer, airconditioning eller alt det andet skidt der har en IP adresse i dag.

7
16. marts 2021 kl. 20:44

Hele O365 er Kompromitteret, inkl. Azure.

5
16. marts 2021 kl. 17:13

Men hvad hvis det ikke længere kun er exchange der er ramt? Hvis hackere allerede er videre på netværket?

Så kan du alligevel bare bøje dig helt ned og kysse din røv farvel - som man sagde dengang jeg var barn.

Det alternativ betyder nemlig at du skal:

  1. wipe diskene fra en CD/DVD
  2. reformattere diskene
  3. installere Windows Server (genvej mulig - clon serverne)
  4. installere al softwaren (dette omfatter også AD)
  5. patche det hele
  6. indlæse backups af data - og kun data
  7. scanne al det genindlæste for malware
  8. køre GDPR kontrol på al genindlæst data - NB. vigtigt!
  9. gå til 1 og gør det samme for alle Windows klienterne (INDEN du lukker dem ind på netværket) husk at 6,7,8 er også for det som ligger på brugernes OneDrive.

For en lille virksomhed er det typisk et par dage, for en mellemstor et par uger og for en stor en måned - for meget store virksomheder kan det tage længere.

...men det gælder så uanset om du kører Windows eller UNIX (AIX/BSD/Linux/OS X/SOLARIS) for så er dit miljø generelt kompromiteret - processen er bare mere eller mindre langsommelig afh. af valgt OS.

4
16. marts 2021 kl. 15:26

Er det bevidst at O365 ikke er kompromitteret eller stoler man bare på hvad Microsoft siger? (ligesom man stolede på at SolarWinds havde styr på sikkerheden)

2
16. marts 2021 kl. 14:35

Løsningen synes ligetil.

Ja:

  1. backup af postkasserne
  2. installer ny Windows
  3. installer ny Exchange
  4. patch begge dele
  5. scan backup af postkasserne
  6. genindlæs postkasserne

Ulideligt meget mere besværligt end med en Domino server men fuldt ud mulig løsning.

Alt2: Installer en helt anden server (ikke Windows + Exchange) og håb på at den kan indlæse backupen

Alt3: Flyt habenguttet til O365

1
16. marts 2021 kl. 12:48

Løsningen synes ligetil.

Luk alt adgang til internettet fra lokalnettet (DNS, HTTP, alt.). Lav evt. et seperat net til de ansattes telefoner m.m. og lad dem bruge de devices til internetadgang. Isoler Exchange servere på deres eget net. Hvis det er muligt så brug jumpservere til de få ting der skal på internettet eller lev uden. Forvent at alt kan være inficeret. Gør det i dag. Også selvom det koster at ting ikke virker.

Derefter kan man så gå igang med at se på en langsigtet strategi. Lige nu tikker uret ... ingen ved hvor mange og hvor hårdt vi kan blive ramt.