Microsoft Exchange HAFNIUM sårbarhed – Hvad gør jeg?

Hvis ikke du har fulgt med, så er tusinde af Microsoft Exchange servere rundt om i verden blevet angrebet med succes via en Zero-day sårbarhed, HAFNIUM, et angreb som også ses udført med succes mod danske virksomheder.

Det norske folketing Stortinget utsatt for IT-angrep er et af ofrene, der også bekræfter, at der er hentet data ud af deres systemer.

I starten tydede det på, at angrebet gik mod udvalgte, men det er nu udbredt, så det rammer alle.

Det betyder, at der kan være mange små og større virksomheder samt offentlige, der allerede er angrebet med succes.

Hvad er en Zero-day sårbarhed?

“0-dag” betyder, at der ikke findes en opdatering, der kan lukke den nu kendte sårbarhed. Så dem der er ansvarlige for sikkerhed, har ikke en sikkerhedsopdatering de kan installere på det sårbare system.

Jeg bruger Microsoft Exchange – er jeg så i fare?

Hvilken version af Microsoft Exchange bruger du? Hvis du bruger Microsoft Office 365, er du ikke i fare. Det er typisk de virksomheder, der selv har deres Exchange mail server stående enten lokalt eller i et hostet miljø, der er i fare.

Hvem er bag angrebet?

Ifølge en blog post fra Microsoft peger de på Kina.

Hvem opdagede det?

Blandt andet Dubex, der også er krediteret i den ovennævnte Microsoft blog post.

Hvad bør jeg gøre nu?

  1. Opdater din Exchange server. Microsoft har frigivet en udførlig beskrivelse af hvordan du skal sikkerhedsopdatere.
  2. Check om du allerede er angrebet med succes ved at følge denne Microsoft vejledning. Den indeholder også et script, som er udviklet af Microsoft Exchange Server Team til at hjælpe dig med beskrivelse og gennemgang af dine Exchange log filer.
  3. Hvis ikke du kan opdatere, så bør du følge Microsoft alternative metode og herunder begrænse adgangen til Exchange serveren udefra. Jeg ved godt, at det betyder at remote brugere ikke kan hente deres mail. Men det er det bedste alternativ lige nu, kontra et vellykket angreb, hvor angriberne måske får adgang til dine interne systemer.

Schmitto A/S kunder der anvender Qualys VMDR:

Qualys har frigivet en blog hvori de beskriver hvordan man med Qualys VMDR kan identificere de sårbare Exchange servere, og dynamisk tilføje en Tag (markering) til disse enheder, så man kan få dem opdateret.

Du kan tilføje nedenstående VMDR Dashboard, for nemt overblik.: Exchange Server 0-Day Dashboard | Critical Global View

VMDR Exchange 0-day Dahsboard
VMDR Exchange 0-day Dahsboard

Mere info om Qualys VMDR?

Hør mere om hvordan Qualys VMDR kan hjælpe dig, så kontakt mig via ole@schmitto.com eller 40253921.

Læs videre

Microsoft Authenticator Chrome Extension var falsk og snød mig.

Microsoft password manager

Siden december har Microsoft testet en ny password-manager feature i deres Authenticator app, der hedder på dansk hedder Autofyld 🤔.

Jeg har længe brugt denne app i forbindelse med min Microsoft Office 365 konto, og den gør 2-faktor login nemt. Jeg opdagede en ny fane i appen i starten af februar. Det nye er, at Authenticator nu tilbyder at gemme andre passwords, ikke bare O365. Denne ekstra funktionalitet er med til at sikre dine andre konti som en Password Manager.

Det skulle være emnet for mit nyhedsbrev, men jeg skal jo lige teste funktionaliteten. Microsoft siger, at den kan bruges på såvel Android og iOS, samt Edge og Chrome browsere.

Her blev jeg snydt!

På Google webstore, hvor man henter udvidelser til sin Google Chrome, søgte jeg efter Microsoft Authenticator, fandt den og tilføjede den til min Google Chrome.

Da jeg aktiverede den, bad den mig logge ind til min Office 365 konto.

Det gjorde jeg, men responsen efter login gjorde mig mistænksom.

Hvad skete der?

  • Den Chrome extension som ligger derinde, er IKKE fra Microsoft, selvom den udgiver sig for det.
  • Hvis man holder musen henover “Kontakt Udvikler”, kan man se, at den mail adresse er en Gmail.
Kontakt udvikler mail adressen er en Gmail.

Hvad er problemet?

Problemet er, at når man har installeret denne Chrome Extension, og skal logge ind for synkronisering af password via Mircrosoft Office 365, så afleverer man brugernavn og password til hackeren, så han får kontrol over din Microsoft Office 365 konto. Du kan selv forestille dig konsekvensen af dette. Ingen adgang til dine egne mails, en anden sender mails på dine vegne, har adgang til alle dine dokumenter etc.

Hvad var konsekvensen for mig?

  1. At jeg stoppede med at skrive omkring Microsoft Authenticator, og skrev denne artikel i stedet for.
  2. At jeg omgående udskiftede mit password på min konto
  3. At snyderen aldrig får fat i min konto, da jeg bruger 2-faktor godkendelse.

Hvad lærte jeg?

  1. Stol ikke blindt på Google Chrome udvidelser inden du installerer.
  2. Vær mistænksom når 1Password Manager pludselig ikke viser brugernavn og password, når du skal logge ind. Det gør den nemlig kun på det korrekte domain. I dette tilfælde skal det være Microsoft, som det så ikke var, -men derimod hackerens domain.
  3. Husk altid at checke hvem der står som udvikler, og klik på besøg udvikler, og kontakt udvikler, for at sikre at det virker rigtigt.

Hvad gjorde jeg udover ovenstående?

  1. Anmeldte udvidelsen som “snyd” til Google Chrome
  2. Skrev til den danske Direktør for Teknologi og Sikkerhed hos Microsoft Danmark, Ole Kjeldsen.
Læs videre

Microsoft mener det med IKKE og skifte password hver 3 måned

– Da jeg i dag loggede ind på min administrative Office 365 konto, fik jeg besked om, at Microsoft ikke længere anbefaler skift af password hver 3 måned som default.

Undgå unødvendige adgangskode ændringer.

Det kan være til mere skade end gavn at kræve, at personer ændrer adgangskode med jævne mellemrum, da det fører til mere forudsigelige adgangskoder og forstyrrer arbejdet. Det anbefales, at du angiver adgangskoder, der aldrig udløber.

Læs videre

Er godt nok … NOK?

Siden min start i branchen for 30 år siden, har man stor set altid haft den holdning, at Antivirus programmer var et nødvendigt onde. Man stolede ganske enkelt ikke på dem, og det var og er også beviseligt for mange, at selv om man har Antivirus på sin PC, ja så bliver man stadig inficeret.

Læs videre