NSM: Norske virksomheter under angrep etter Microsoft-hull
Sårbarheter i Microsoft Exchange er nå under aktiv utnyttelse av avanserte og ikke-avanserte trusselaktører, advarer Nasjonal sikkerhetsmyndighet.
Denne artikkelen er over to år gammelSårbarhetene ble avdekket og varslet om tirsdag kveld, men alle virksomheter som ikke hadde benyttet seg av den påfølgende oppgraderingen innen utgangen av 3. mars, må anta at de er under angrep, advarer myndighetene.
Situasjonen kalles en nulldags-utnyttelse, fordi fiendtlige aktører kan ha vært klar over svakheten før den ble avdekket av Microsoft. Fredag bekrefter Nasjonalt cybersikkerhetssenter at sårbarheten har blitt utnyttet i Norge.
– Vi kan bekrefte at vi har registrert utnyttelse av disse sårbarhetene i Norge. Foreløpig har vi et begrenset omfang av utnyttelse, men dette er en sak under utvikling og i stadig endring., sier seksjonsleder Tom-André Røgden ved Nasjonalt cybersikkerhetssenter (NCSC) til E24.
Røgden ønsker ikke å gå inn på detaljer i hvem eller hvor mange som er utsatt for angrep i Norge.
Enkelte kilder melder at bred, aktiv utnyttelse kan ha startet så tidlig som 27. februar, skriver NSM i pressemeldingen tirsdag. Derfor ber NCSC nå alle som bruker Microsoft Exchange om å ettergå data fra før oppgraderingen.
NCSC er den nasjonale responsfunksjonen for alvorlige digitale angrep og drifter det nasjonale varslingssystemet for digital infrastruktur.
Tietoevry utsatt for løsepenge-angrep: – Vi anser dette som en alvorlig kriminell handling
Frykter løsepengevirus
«Industrien rapporterer om bred scanning og utnyttelse "in the wild" i tillegg til målrettede angrep. Sikkerhetsselskapet ESET melder at flere aktører utnytter sårbarheten. Det er sannsynlig at løsepengevirus-aktører vil utnytte sårbarheten i løpet av kort tid», heter det i meldingen.
Røgden ved NCSC kan hverken bekrefte eller avkrefte at tilfellet eller tilfellene i Norge dreier seg om løsepenger.
– Bruk av løsepengevirus kan ikke utelukkes, og er noe man må ta høyde for, sier han.
– Er det store virksomheter som er rammet?
– Jeg kan foreløpig ikke gå nærmere inn på det, men omfanget kan potensielt være svært omfattende, da Microsoft Exchange har stor utbredelse. Vi anser dette som meget alvorlig.
– Hvem står bak?
– Nå når disse sårbarhetene er offentlig kjent vil det være mulig for både avanserte og ikke-avanserte aktører å utnytte disse sårbarhetene, og vi ser erfaringsmessig at ulike aktører tilpasser seg raskt denne type mulighetsrom.
PST urolig for utenlandske oppkjøp etter coronakonkurser: «Dårlig stilt mot konkurrenter som ikke må tjene penger»
– Hva intensjonen kan være vil spenne bredt, her kan det også være snakk om kriminelle aktører med økonomisk vinning som formål.
Røgden sier det viktige nå er å oppdatere systemene sine med de sikkerhetsoppdateringene som har kommet fra Microsoft.
– Samtidig er det avgjørende at virksomheter nå ettergår disse sårbarheter før det også ble sluppet sikkerhetsoppdatering. Der henviser vi til Microsoft som har laget mekanismer for å avdekke hvorvidt man har blitt berørt.
– Det er ikke nødvendigvis sånn at hvis man nå har oppdatert, at man ikke har blitt utnyttet. Det er viktig å undersøke det man har i logger og annet datagrunnlag for å avklare situasjonen. Hvis virksomheten ikke er i stand til å gjøre undersøkelsene selv, bør man søke bistand hos et responsmiljø eller leverandører for sikkerhetstjenester, sier Røgden, som legger til at NSM samarbeider tett med sine nasjonale og internasjonale samarbeidspartnere.
NSM i dialog med Schibsted etter datainnbrudd
Microsoft peker på Kina
I en egen pressemelding tirsdag forklarte Microsoft at de hadde avdekket flere såkalte «nulldags-utnyttelser» som ble brukt til å angripe Microsoft Exchange-serverne.
«I de avdekkede angrepene har trusselaktøren utnyttet disse sårbarhetene til å skaffe seg tilgang til lokale Exchange-servere som ga tilgang til e-post-kontoer, og tillot installasjon av ytterligere skadevare for å legge til rette for langsiktig tilgang til ofrenes miljøer», skriver Microsoft.
Selskapet legger selv, med høy grad av sikkerhet, skylden på «Hafnium», som de sier er en statsstøttet gruppe som opererer i Kina. Det kan Røgden i NSCS ikke bekrefte.
– Microsoft har antydet noe sånt. NSM har ingen kommentar til dette og det er ikke vår rolle å attribuere eller peke på aktører.
Det var digi.no som omtalte Microsoft-sårbarhetene i Norge først.
