Eerst het slechte nieuws: het Nederlandse cybersecuritybedrijf Eye Security verwacht dat het misbruik van het SharePoint-lek de komende weken zal doorgaan, met een verhoogde kans op ransomware en supply chain-aanvallen. SharePoint is een online platform van Microsoft dat organisaties helpt bij het beheren van documenten, projecten en informatie. Eye Security ontdekte deze maand dat SharePoint op grote schaal misbruikt werd via een nieuwe kwetsbaarheid. Door het lek, dat 'ToolsShell' werd gedoopt, kunnen hackers kwaadaardige software – zogenaamde 'web shells' - uploaden naar geïnfecteerde systemen om commando's uit te voeren.
Lees ook: 'Cyberdreiging groeit snel nu AI ook onze psychologische zwakheden leert herkennen'
Wordt SharePoint in Nederland veel gebruikt?
„Sharepoint wordt wereldwijd veel gebruikt," vertelt Lodi Hensen, VP Security Operations bij Eye Security, „Al zijn veel Nederlandse bedrijven in coronatijd van plaatselijke oplossingen als SharePoint overgestapt naar naar cloudoplossingen als Microsoft365, dat door Microsoft zelf wordt beheerd. Microsoft kan daar qua bescherming natuurlijk meer doen. Daar kun je ook weer van alles van vinden, maar als ik puur naar security kijk, zeg ik: parkeer het gewoon daar."
Eye Security is een Nederlands bedrijf, opgericht door voormalige medewerkers van de AIVD en MIVD. Inmiddels is het ook in andere grote Europese landen actief. De uitbuiting van het lek werd ontdekt door het Security Operations Center van Eye, dat 24 uur per dag ruim 800 klanten in Europa beschermt. Na constatering van de inbreuk is er snel intern opgeschaald naar het Incident Response team, een soort „digitaal arrestatieteam", volgens Hensen. „Die doen ook het forensisch onderzoek om te bepalen of een lek ook is misbruikt. En als het is misbruikt, wat er daarna dan gebeurd is ."
Door het internet af te speuren naar kwetsbare SharePoint-servers, ontdekten ze dat de aanval al op grote schaal plaatsvond. Vervolgens heeft het bedrijf Microsoft en cybersecuritycentra, zoals het Nederlandse NCSC, geïnformeerd, wat leidde tot wereldwijde notificaties en zogenoemde 'patches', een soort pleisters op het lek.
Lees ook: Waarschuwingen en advies van experts: dit is wat een CEO moet weten over cybersecurity
Zijn er veel systemen gecompromitteerd?
Uit een scan van Eye Security van meer dan 27 duizend SharePoint-servers, bleken 396 systemen gecompromitteerd te zijn, bij 145 unieke organisaties in 41 landen. Tijdens de tweede scan bleek het aantal besmettingen zelfs toegenomen, zelfs nadat Microsoft noodpatches had uitgebracht. Hensen: „Het wijst erop dat veel organisaties hun systemen nog niet hadden beveiligd, of dat aanvallers al een blijvende aanwezigheid in het netwerk hadden verankerd."
„Dat is het echte risico," zegt Hensen. „Een patch verwijdert een aanvaller die al binnen zit niet. Het gat tussen de eerste aanval en het moment van volledige herstelmaatregelen kan desastreus zijn – vooral voor middelgrote organisaties die niet dag en nacht worden gemonitoord."
Als je niet in realtime kunt detecteren wat er gebeurt, loop je altijd achter de feiten aan
Lodi Hensen VP Security Operations
Wat moet je doen als jouw bedrijf Sharepoint gebruikt?
Daarom moet je ook altijd actie ondernemen bij zo'n lek, zegt Hensen. Sharepoint even links laten liggen, helpt niet: „Er is een grote kans dat dat niet meer het enige systeem is wat gecompromitteerd is. Je kunt denken: ik zet die SharePoint machine uit en dan is het probleem opgelost. Maar als de aanvaller al twee weken in je netwerk aan het rondsnuffelen is, dan zit hij waarschijnlijk ook op andere plekken die je wat moeilijker uit kan zetten. Daarom moet je altijd een onderzoek laten uitvoeren." Voor middelgrote organisaties moet het ook „een wake-up call" zijn, legt hij uit. „Alleen Microsoft Defender of een patch installeren is niet genoeg. Als je niet in realtime kunt detecteren wat er gebeurt, loop je altijd achter de feiten aan."
Moet je zo'n lek wel in de publiciteit brengen?
Microsoft denkt bij de Sharepoint aanvallers aan Chinese hackers in staatsdienst. Maar zodra zo'n incident publiek bekend wordt en technische details gaan rondzingen, worden andere hackers óók actief. Hensen: „En daar zitten ook cybercriminelen met hele andere drijfveren bij – zoals puur financieel gewin." Media-aandacht kan daarbij weinig kwaad. Hensen: „Als iets de pers haalt is de cybergemeenschap al wel een week of twee op de hoogte."
Lees ook: NAVO-top en cyberveiligheid: 'Dit zou ook het bedrijfsleven aan het denken moeten zetten'
Ontvang elke week het beste van BusinessWise in je mailbox. Schrijf je hier nu gratis in: