Det er foreløpig ikke mange virksomheter som har stått fram og fortalt at de har blitt rammet av angrepene som nå herjer mot epostservere over hele verden, men Den europeiske banktilsynsmyndighet (European Banking Authority) er et unntak.
Søndag varslet banktilsynsmyndigheten at den har satt i gang full etterforskning av angrepet, samtidig som den har stengt ned epostsystemene inntil videre.
Et mål for etterforskningen er å finne ut hvilke data, om noen, angriperne har fått tilgang til. Det kan blant annet dreie seg om personopplysninger.
Flere titusen virksomheter er trolig rammet
Tallet for hvor mange virksomhet som er rammet av angrep som utnytter fire sårbarheter i epostserverprogramvaren Microsoft Exchange, øker stadig. Ifølge Bloomberg snakkes det nå om minst 60.000 ofre. Mer forsiktige prognoser antyder omtrent halvparten, noe som likevel er et stort antall.
Ifølge Microsoft har virksomheter innen en rekke sektorer blitt utsatt for slike angrep. Dette inkluderer blant annet forskningsinstitusjoner som jobber med smittsomme sykdommer, advokatfirmaer, utdanningsinstitusjoner, forsvarsleverandører, politiske tenketanker og ikke-statlige organisasjoner.
De aktuelle sårbarhetene ble offentlig kjent i forrige uke da Microsoft kom med en ekstraordinær sikkerhetsoppdatering til Exchange-produktene for å fjerne sårbarhetene. Sårbarhetene var allerede da aktivt utnyttet i angrep fra en statssponset hackergruppe kalt Hafnium, så beskjeden fra Microsoft var at oppdateringene burde installeres så raskt som overhodet mulig.
Bakgrunn:
Microsoft lapper fire kritiske sårbarheter
Logganalyse må til
Men det er ikke nok å installere sikkerhetsoppdateringen. Har angriperne allerede kommet seg inn, blir de ikke kastet ut bare ved at denne installeres. Angriperne installerer et såkalt webshell på serverne.
I praksis er dette en bakdør som kan brukes til å stjele eller plante data, eller å utføre andre handlinger som fører til ytterligere kompromittering av Exchange-serveren og tilknyttede systemer.
Alle virksomheter som drifter egne eller andres Exchange-servere må derfor kontrollere om uvedkommende har fått tilgang. Den anbefalte metoden er å skanne Exchange-loggfilene for å se etter kompromitteringsindikatorer.
Anbefalt verktøy
Microsoft beskriver i dette blogginnlegget hvordan dette kan gjøres ved hjelp av fire Powershell-kommandoer. Men selskapet har i tillegg utgitt et skriptbasert verktøy, Test-ProxyLogon.ps1, som automatiserer kjøringen av de fire kommandoene.
Microsoft oppgir i det nevnte blogginnlegget en rekke eksempler på hvor webshell-bakdøren har blitt oppdaget i systemer som har blitt angrepet.
Dersom man oppdager slike filer på systemet, er det et tydelig tegn på at systemet har blitt kompromittert. Men det er liten grunn til å tro at det å fjerne disse filene vil løse problemet. Tvert imot er det nok senest på dette tidspunktet på tide å trykke på den store alarmknappen.