Alvorlig Exchange-sårbarhed udnyttes i Danmark: »Vi kender ikke omfanget endnu«

Read the full article on Version2 here.

»Der er travlt hos de danske sikkerhedsselskaber efterhånden som sagen eskalerer. Angribere har nu lavet en automatiseret angrebsproces, lyder det.

Der er travlhed hos de danske it-sikkerhedsfirmaer, som Version2 har været i kontakt med i de seneste dage, der alle har kunder, som er berørt af Microsoft Exchange-sårbarheden. Sårbarheden har i et ukendt tidsrum gjort Exchange-brugere over hele verden sårbare over for angreb, og der er allerede flere eksempler på, at den aktivt bruges i Danmark.

»Det jeg kan sige er, at det er en meget alvorlig sårbarhed, som aktivt bliver udnyttet, og man kan se, det udvikler sig løbende, så vi kender ikke det fulde omfang endnu,« siger Claus Vesthammer, der er driftsdirektør i sikkerhedsselskabet Improsec.

<…>

»Værre end Eternal blue«

Claus Vesthammer sammenligner det eskalerende mega-hack med den sårbarheden Eternal Blue, der også ramte en kæmpe mængder virksomheder og organisationer verden over.

»Men i modsætning til Eternal Blue, er denne sårbarhed særligt slem, fordi mailservere som udgangspunkt netop er direkte på internettet,« siger Claus Vesthammer. Derfor er det nemmere for angribere at se, hvem der er sårbare og udnytte sårbarheden direkte uden at skulle gennem flere lag af sikkerhed.

Ikke mindst takket været sites som Shodan, der lader alle og enhver scanne nettet for sårbare enheder - og som har udviklet et helt særligt filter til at komme på sporet af de sårbare servere rundt omkring i verden, herunder også Danmark.

»Et andet problem med det konkrete angreb er, at selv hvis man patcher nu, kan man ikke nødvendigvis vide sig sikker. Det er nemlig endnu uklart, præcis hvor længe hullet har været åbent. Derfor kan man ikke vide sig sikker, før man har undersøgt sin infrastruktur i en eller anden grad. Uanset om man har patchet sine Exchange servere, da patchen kom ud,« siger Claus Vesthammer.

Ukendt men voksende omfang

Der er ingen i verden, der kender præcise omfang, men de seneste tal fra Microsoft indikerer, at der er tale om titusindvis servere i USA alene.

»Det startede først for alvor i går morges, og det er stadig uklart, hvad omfanget er,« lyder det fra Claus Vesthammer.

Indtil videre tyder den foreløbige undersøgelse lavet af it-sikkerhedsselskabet CSIS på, at der er godt 1000 ramte servere i Danmark. Også hos CSIS er der fuld gang i incident response hos selskabets kunder.