Norske virksomheter har den siste uken jobbet mot klokka med å installere en kritisk sikkerhetsoppdatering. De som ikke er raske nok kan bli ofre for spionasje og løsepengevirus.
Nasjonal sikkerhetsmyndighet (NSM) advarer om at en mye brukt Microsoft-løsning for e-post bør anses som «mulig kompromittert» om nødvendige sikkerhetsoppdateringer ikke ble gjort innen onsdag i forrige uke.
Søndag kveld viste undersøkelser gjort av sikkerhetsselskapet Defendable at minst 269 Microsoft-servere i Norge fortsatt manglet disse oppdateringene. Undersøkelsene viste også at over 1500 servere måtte oppdateres for å forhindre utnyttelse av sårbarhetene.
Kollektivselskapet for hele Trøndelag, AtB, var en av virksomhetene som ikke hadde oppdatert sin e-postløsning søndag kveld.
– AtB har registrert et forsøk fra utenforstående på å hente ut informasjon fra en lokal epostserver gjennom et sikkerhetshull, sier Grethe Opsal, som er direktør for kommunikasjon og drift i AtB.
Hun oppgir at AtB ble kompromittert torsdag 4. mars. Inntrengerne hadde lagt igjen en bakdør som kunne gi dem adgang til selskapets e-poster. Det var heldigvis ingen forsøk på å utnytte denne muligheten, oppgir Opsal.
AtB gjorde tiltak samme dag for å stoppe utnyttelse av sårbarheten og mandag 8. mars ble e-postløsningen oppdatert.
– Dette sikkerhetshullet er i samarbeid med vår leverandør tettet, og det har ikke ført til noe skadeomfang eller negativ konsekvens for vår del, sier Opsal.
Tirsdag meldte Khrono at Høyskolen i Østfold stenger e-post til studenter og ansatte mens de undersøker nærmere. Øksnes kommune oppgir også på sine nettsider at noen har brutt seg i hos dem. De har foreløpig ingen indikasjon på at sensitive informasjon er på avveie.
– Våre IT-systemer vil sannsynligvis være utilgjengelig de neste dagene, skriver kommunen.
TIPS OSS: Vet du om virksomheter som er kompromittert som følge av sårbarhetene i Microsoft Exchange er vi interessert i å snakke med deg. Nå journalistene på telefon / Signal (+47 47756515) og epost ([email protected]).
Ny trusselaktør på markedet
Dette kommer etter at det ble kjent at en ny trusselaktør «Hafnium» hadde utnyttet såkalte 0-dags sårbarheter for å bryte seg inn i e-postservere. Microsoft mener selv at denne trusselaktøren er statlig finansiert og er basert i Kina. Siden har flere aktører kastet seg rundt og utenlandske medier rapporterer om titusenvis av kompromitterte organisasjoner.
– Det er sannsynlig at det vil komme flere løsepengekrav fremover som følge av denne hendelsen, sier sikkerhetsrådgiver Håkon Lønmo i selskapet Defendable til NRKbeta.
Søndag kveld hadde heller ikke butikkjeden Tilbords oppdatert sin e-postløsning, viste undersøkelsene til Defendable. Mandag kveld oppga IT-sjef Petter Grålumstuen i Tilbords at systemet var oppdatert.
– Jo lenger tid sårbarheten er eksponert, jo lenger tid har ulike aktører på seg til å skaffe seg et fotfeste internt og gå under radaren, advarer Lønmo.
Tidsspørsmål
NSM meldte fredag at de hadde sett begrenset utnyttelse av sårbarhetene, men det kan endre seg fort.
– Vår vurdering er at det vil være et tidsspørsmål før dette blir aktivt utnyttet i større skala enn vi foreløpig har sett, sier seksjonssjef Tom-André Røgden ved Nasjonalt cybersikkerhetssenter.
Røgden forteller at NSM tar direkte kontakt med berørte virksomheter.
– Det er ikke nødvendigvis nok å bare installere sikkerhetsoppdateringen. Man må også gjøre undersøkelser for å avdekke om det er tegn på kompromittering, sier Røgden.
E-post er attraktivt mål
– Det spesielle med denne sårbarheten er at angriper får tilgang til all e-post for alle brukere, sier Lønmo i Defendable.
Ifølge Microsoft har trusselaktøren Hafnium historisk fokusert på å hente ut informasjon fra amerikanske industri- og forskningsinstitusjoner. Men etter at sårbarhetene har blitt kjent har fire nye grupper kastet seg rundt, ifølge Technology Review.
Lønmo og NSM frykter at norske virksomheter kan bli utsatt for spionasje eller løsepengevirus på grunn av denne sårbarheten.
Løsepengevirus har de siste årene blitt stadig mer populært blant kriminelle, gjerne i kombinasjon med trusler om å publisere e-poster og andre sensitive dokumenter.
I 2019 ble Hydro offer for et omfattende løsepengevirus som endte med å koste selskapet 800 millioner kroner, men de er langt fra alene.
Kappløp
Nyhetsbyrået Reuters meldte fredag at over 20.000 amerikanske virksomheter var utsatt, som følge av sårbarheten i Microsofts produkter.
Teknologinettstedene Wired og KrebsOnSecurity meldte i forrige uke om at over 30.000 mail-servere i USA kan være kompromittert, og at det er snakk om hundretusenvis på verdensbasis.
Til NRKbeta oppgir sikkerhetsselskapene Atea og Mnemonic om økt pågang som følge av sårbarhetene.
– Siden sårbarheten ble kjent, har Ateas Incident Respons Team (IRT), jobbet 24/7 med å hjelpe virksomheter som tar kontakt med mistanke om at de har blitt kompromittert, sier Thomas Tømmernes, som er sjef for IT-sikkerhet i Atea Norge.
– Vi ser at veldig mange virksomheter har vært berørt, i form av at uvedkommende har sjekket om virksomheten er sårbar eller at det er lagt igjen en bakdør som de kan benytte selv etter patching. Vi ser foreløpig ikke videre utnyttelse av sårbarheten, utdyper Tømmernes.
Tirsdag 1822: Saken er oppdatert med informasjon om at Øknes kommune er utsatt for et datainnbrudd som har sammenheng med sårbarhetene i Microsoft Exchange.
Harald
Er MS-Exchange så utsatt fordi den er så vanlig, eller er sikkerheten bare lavere enn andre systemer? Eller trues sikkerheten av at den er bundlet med så mye annen programvare med svak sikkerhet?
Martin Gundersen (NRK)
Jeg kjenner ikke til detaljene i sårbarheten, men jeg tror det kan ha en sammenheng med at profilerte organiasjoner og attraktive mål benytter seg av tjenesten. Det øker sannsynligheten for at noen finner en feil.
Helge Nordgård
Microsoft Outlook er en kommersiell hyllevare som du påpeker veldig mange bruker. Kombinert med at MS legger dette opp i en skytjeneste (en analogi her blir å legge alle eggene i en kurv) er det klart at produktet utifra de kriteriene blir spesielt utsatt.
Personlig ville jeg ikke brukt Exchange hvis jeg ønsket å sette sikkerhet høyere på prioriteringslisten. Men å drifte egne løsninger som ikke er kommersielle hyllevarer som Microsoft Exchange er såklart mer kostbart.
Jon Martin
Er ikke noen ekspert på sikkerhet, men du er nok inne på noe i ditt eget spørsmål. Det er en veldig utbredt bruk av Exchange-server, så naturlig at det er mer fokus på å finne hull i programvaren kontra mindre brukt programvare.
Forøvrig så finner jeg svaret til Helge noe misvisende. Så vidt jeg har forstått så har disse sikkerhetshullene med Exchange servere å gjøre (backend), og ikke så mye med Outlook (frontend), og heller ikke med skytjenester.
For større bedrifter med mange ansatte, så har driftsikkerhet/ driftkostnader ganske tung vekting. Å drive sine egne løsninger er ikke alltid like fornuftig i det aspektet.
Helge Nordgård
Jeg mente selvfølgelig Exchange. Det var en slipp at jeg skrev outlook innledningvis og det er ingen mulighet for å redigere kommentarer her.
Kristian
Exchange online (sky-versjonen) er ikke påvirket av disse sårbarhetene.
Stig
Jøss. Visste faktisk ikke at folk fortsatt bruker Microsoft … Jeg ville nok mye heller ha henvendt meg til Red Hat. Og disse serverne, sky eller ei, burde nå iallfall ikke ha bakdører. De burde også være krypterte. (Alle personlige eposter burde nå dessuten krypteres. Rart man ikke blir skolert i dette, gitt tiden vi lever i.)
Jon Martin
Jøss!
Tror vi må oppdatere ordboka med en ny definisjon på «uvitenhet» 😛
André
Selvfølgelig vet du at MS Exchange er mildt sagt svært utbredt. Mener du at det er en selvfølge at programvare skal være feilfri og uten sikkerhetshull? Det er i praksis umulig. Det er mindre utopisk å kreve at ingen publisert tekst på nettet skal inneholde skrivefeil.
Det er klart at kryptering av epost vil kunne redusere konsekvensene av et slikt sikkerhetsbrudd betraktelig, men det hjelper ikke nødvendigvis mot andre skadevirkninger som følge av et angrep.
Jan-Espen Oversand
Ende til endekryptering av eposter er mildt sagt problematisk å innføre. Det har vært løsningee tilgjengelig lenge for det, men disse er for vanskelig og tungvint for vanlige folk. De vanlige løsningene har også konkrete svakheter som at bl.a fra/til-adresser, navn og tittelen ikke blir kryptert. Problemet også hvis epost skal leses og sendes på flere enheter. Da må nøkkelen være tilgjengelig på alle enhetene.
Det finnes noen kommersielle løsninger, men da er ofte nøkkelen lagret på leverandørens «sky». Spm. da er jo hvorvidt man stoler på denne tredjeparten til å for all framtid ta vare på nøklene?
Rolf-Thore Johansen
HCL Domino, tidligere Lotus/IBM, er applikasjonsserver, med tjeneste som mail, kalender osv. Du kan benytte Outlook som klient eller HCL Notes. I tillegg har du mobile klienter på alle plattformer. Integrasjoner med de fleste apps. Høyeste sikkerhet. Kan kjøres på egne servere eller i privat cloud. Rimeligere pr bruker enn Microsoft Exchange.
Trond Klausen
Det er riktig. Men det ble litt for komplisert for vanlige kontorbrukere og en dårligere intergrasjon med office pakken. Dermed vant Microsoft med Exchange.
Trond
Detaljer om svakhetene her.
Common Vulnerabilities and Exposures (CVE)
msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
Jørgen
Registrer at det pekes mot Kina. Det kan godt være rett, men finner det rart at muligheten for at stater som vil det skal pekes mot Kina/Russland aldri blir vurdert. Tenker f.eks på hva vi fikk vite om Vault 7 via wiki leaks.