Beveiligingsproblemen: Microsoft vult meer gaten in het Exchange-e-mailsysteem

Microsoft Opnieuw moet het de kwetsbaarheden in zijn Exchange Server-e-mailprogramma opvullen met een update.

De suite heeft updates gepubliceerd voor versies uit 2013, 2016 en 2019. Ze zijn ook getroffen door kwetsbaarheden die Microsoft al heeft afgesloten met een update in maart. De verwijzing naar twee van de vier nieuwe problemen kwam van de CIA De National Security Agency​

Microsoft zei woensdagavond dat we geen malware kennen die daadwerkelijk misbruik heeft gemaakt van de kwetsbaarheden. Het bedrijf raadde echter aan om updates onmiddellijk te installeren. Het Witte Huis beval alle Amerikaanse overheidsinstanties om hun e-mailservers onmiddellijk bij te werken.

Ondertussen nam de FBI van de Amerikaanse federale politie een ongebruikelijke stap om de lekwonden te herstellen die in maart bekend werden. Met toestemming van een rechter in Texas werden de achterdeuren van “honderden computers” geopend. Verenigde Staten van Amerika ver. Het Amerikaanse ministerie van Justitie zei dat sommige Exchange-serveroperators in januari en februari de achterdeurtjes van de aanvallers niet konden verwijderen.

Deze benadering heeft tot kritiek geleid. Het was een “grimmige grensovergang”, zei Rudiger Trost van IT-beveiligingsbedrijf F-Secure. “Het is een groot probleem wanneer de staat zich met zijn IT-systemen bemoeit zonder medeweten en zonder toewijzing van bedrijven, zoals hier het geval is.” Iets dergelijks is al gedaan in Duitsland met betrekking tot de Emotet Trojan – “er is momenteel geen wettelijke basis voor”.

Plaatsvervangend Amerikaans veiligheidsadviseur Anne Neuberger benadrukte dat de Amerikaanse regering verantwoordelijk heeft gehandeld door de kwetsbaarheid aan Microsoft te melden. Geheime diensten zoeken specifiek naar kwetsbaarheden om bijvoorbeeld voor spionage te gebruiken. In het Amerikaanse overheidsapparaat is er een proces waarin wordt beoordeeld of de kwetsbaarheid te gevaarlijk zou kunnen worden voor het grote publiek als de CIA het voor zichzelf hield.

De National Security Agency is verantwoordelijk voor cyberspionage in het buitenland. In 2017 maakten hackers gebruik van een beveiligingsfout die door de geheime diensten was ontdekt om computers massaal te infecteren met het afpersingsprogramma WannaCry. Deze programma’s versleutelen de harde schijf en brengen kosten in rekening voor het bewerken ervan. In die tijd werden onder meer Britse ziekenhuizen en displaypanelen van Deutsche Bahn getroffen door WannaCry. De National Security Agency is onder zware kritiek gekomen omdat het de veiligheidskloof niet heeft kunnen overbruggen.

Volgens schattingen van IT-beveiligingsexperts hebben de Exchange-kwetsbaarheden die in maart bekend werden, tienduizenden e-mailservers wereldwijd geïnfecteerd. De aanvallers profiteerden gedeeltelijk van het feit dat updates handmatig moesten worden geïnstalleerd – niet alle Exchange-clients reageerden snel.

Volgens de beoordeling van Microsoft werden de vier kwetsbaarheden uit de update van maart in eerste instantie uitgebuit door Chinese hackers. Twee verschillende aanvallers werden later toegevoegd. Bij een succesvolle aanval via de kwetsbaarheden kunnen de gegevens zijn ontsloten vanuit het e-mailsysteem.

Alleen door bedrijven beheerde servers worden getroffen door kwetsbaarheden in Exchange. De online versies van de Exchange-services waren al beveiligd.

In de grote reeks beveiligingsupdates sloot Microsoft dinsdag meer dan 100 kwetsbaarheden, onder meer in het Windows-besturingssysteem, in de Edge-webbrowser en in de Office Office-programma’s.

© dpa-infocom, dpa: 210414-99-193951 / 3 (Dpa)

Microsoft in de nieuwe Exchange-update

Informatie over de tweede kwetsbaarheid ontdekt door de National Security Agency

Informatie over het eerste beveiligingsprobleem dat is ontdekt door de National Security Agency

Bericht van het Amerikaanse ministerie van Justitie