Nytt dataangrep mot Microsoft Exchange-servere

21. mars 2021

Siden begynnelsen av januar har trusselgruppen Hafnium utnyttet fire sårbarheter i Microsoft Exchange Servere, ifølge Microsoft selv. Stortinget ble utsatt for denne type dataangrep forrige uke, og de er ikke den eneste statlige målskiven til angriperne. Dette har fått FBI til å reagere.


Dette er saken

Microsoft Exchange er systemet som brukes for e-poster og kalener, og Outlook er en e-posttjenester som mange kjenner til. En trusselgruppe ved navn “Hafnium” oppdaget fire svakheter i Microsoft Exchange-servere. 

Sårbarheten gir angripere mulighet til å autentisere seg som Exchange-serveren. Det vil i mange tilfeller si at de får fulle rettigheter på servermiljøet og kan kjøre skadelig kode. Gruppen benyttet seg av svakhetene for å få tilgang til e-postkontoer og tillatelse til å installere skadelig programvare, som gjør det enklere for gruppen å angripe maskinene over lengre tid. 

For å skjule plasseringen sin har Hafnium brukt virtuelle private servere, og det er fortsatt ikke bekreftet hvor eller hvem gruppen er knyttet til. Den siste uken har FBI og CISA uttalt seg om trusselfaren til (blant andre) The Hacker News.

De første dataangrepene gjaldt kun myndigheter og store organisasjoner, men etterhvert som angrepene har blitt kjent for allmennheten, ser man nå en trend hvor  små selskaper i alle type bransjer, også rammes.

Det er minst 30 000 organisasjoner som hevder å ha blitt utsatt for dataangrep i USA, og globalt vil dette tallet være mye høyere. Det er antagelig 63 000 eksponerte servere som er sårbare for denne type dataangrep, og blant disse er det norske Stortinget.

Stortinget ble hacket

10.mars 2021 skrev Aftenposten hvordan Stortinget ble utsatt for IT-angrep, og det var nettopp svakhetene ved Microsoft Exhange-serverne angriperne benyttet seg av.

Stortingspresident Tone Wilhelmsen Trøen uttalte seg om datainnbruddet på en pressekonferanse 10.mars. – Angrepet hadde potensial til å gå inn i de parlamentariske prosessene, uttalte hun. Videre omtaler Trøen derfor datainnbruddet “som et angrep på vårt demokrati.”

Dette må du gjøre nå

Hvis du bruker lokale Exchange-servere anbefaler vi at du sjekker systemet ditt asap. Det gjør du ved å skanne Exchange server-loggene dine med Microsoft Safety Scanner for å se etter svakheter eller brudd.

Ingen brudd: Hvis du har kjørt en skanning og det ikke er oppdaget noen brudd på systemet ditt, bruker du oppdateringene som er utgitt av Microsoft så snart som mulig.

Ved brudd: Hvis du har kjørt en skanning og ser bevis for at dere har brudd i systemet bør du handle umiddelbart. Ta kontakt med IT-sikkerhetsavdelingen, IT-partneren deres eller start utbedring av systemene internt.

Procano er ikke påvirket

Vår hovedplattform benytter seg ikke av lokale Exchange-servere, og er derfor ikke påvirket av dette dataangrepet. Våre kunder som benytter Exchange i sine lokaler miljøer er kontaktet og servere ble patchet umiddelbart da svakheten ble kjent.

Les mer om hvordan dere kan utbedre deres egen IT-sikkerhet her. 

Hva gjør vi?

Referanser

Nyheter

Om oss