Microsoft Exchange: een kijkje achter de schermen bij onze incidentenaanpak

Weblogbericht | 03-05-2021 | NCSC

Microsoft Patch Tuesday, de dag die bij iedereen in de cybersecuritywereld een belletje doet rinkelen. Op de tweede dinsdag van de maand publiceert Microsoft vaak mogelijke kwetsbaarheden in het systeem. Meestal zijn de gevonden kwetsbaarheden te verhelpen met een eenvoudige update, maar soms is de kwetsbaarheid zo ernstig dat Microsoft meteen alarm slaat. Zo’n kwetsbaarheid – ook wel een out-of-band patch genoemd – komt slechts een paar keer per jaar voor. Afgelopen 2 maart, overigens niet de tweede dinsdag van de maand, was het raak bij de veelgebruikte Microsoft Exchange-server. Via deze kwetsbaarheid zou een kwaadwillende toegang kunnen krijgen tot de e-mailserver van organisaties.

Het NCSC komt meteen in actie. Nadat er op 3 en 4 maart meer informatie over de kwetsbaarheid bekend is geworden, wordt het incidententeam het leven in geroepen en komen de leden van het team regelmatig (digitaal) bijeen. Het NCSC stuurt op 4 maart ook een melding met de hoogste prioriteit over de Microsoft Exchange-server naar haar doelgroepen en publiceert een bericht met handelingsperspectief op de website. Toch zou het nog 12 dagen duren voordat media het nieuws over de Microsoft Exchange-kwetsbaarheid breed oppakken.  

Op 8 maart blijkt namelijk dat ruim 40 procent van de Nederlandse organisaties hun server nog niet gepatcht heeft, ondanks de ernst van de kwetsbaarheid en de hoge kans op misbruik door een kwaadwillende. Dat wil zeggen dat ze nog geen gebruik hadden gemaakt van de software die Microsoft al beschikbaar had gesteld om de kwetsbaarheid te verhelpen. Hoewel het NCSC hier een bericht over naar buiten brengt, blijken er op 16 maart toch nog relatief veel Nederlandse servers – zo’n 1.200 –kwetsbaar te zijn. Het is dan bijna zeker dat deze servers ook geïnfecteerd zijn. Dit betekent dat een kwaadwillende malware geïnstalleerd kan hebben of data doorverkocht kan hebben. Het NCSC plaatst hier wederom een websitebericht over, waarna de media-aandacht voor de Microsoft Exchange-kwetsbaarheid toeneemt.

Welke lessen heeft het NCSC uit het Microsoft Exchange-incident getrokken?

Het komt niet vaak voor dat het NCSC een percentage van organisaties noemt die nog niet gepatcht hebben. Het feit dat dit bij het Microsoft Exchange-incident wel is gebeurd is daarom opvallend te noemen. Noortje Henrichs – die tijdelijk voorzitter was van het incidententeam en onderdeel uitmaakt van de unit Operatie bij het NCSC – kijkt met tevredenheid terug op de snelheid en doelmatigheid waarmee het team de informatie de buitenwereld in heeft gestuurd: “We moeten niet terughoudend zijn met het delen van onze blik op hoe de situatie op een bepaald moment is. Je moet proactief communiceren als crisisorganisatie en informatieknooppunt om uitleg aan de buitenwereld te verschaffen en de urgentie van de kwestie nogmaals te benadrukken.” Doe je dit niet, zegt Henrichs, dan zet het NCSC zich buitenspel.

Martijn Jonk – ook tijdelijk voorzitter van het incidententeam– is het hiermee eens. Volgens hem komt een urgente cyberboodschap niet altijd als zodanig over bij de ontvanger. Hij geeft toe dat een mogelijke oorzaak hiervoor is dat het NCSC vaak technische taal gebruikt en dat het NCSC normaalgesproken voorzichtig is in haar communicatie: “We zullen nooit heel stellig zijn als we niet heel zeker weten of iets zo is. We roepen geen moord en brand bij een onbetrouwbare bron.” Bij Microsoft Exchange was er juist wel duidelijk wat er aan de hand was. De stellige communicatie van het NCSC naar buiten toe zorgde ervoor dat de meeste organisaties zich achter de oren krabden: “Ze vragen zich af: heb ik hier last van? Heb ik zo’n server? Ze zijn dan meer genegen om deze vragen te stellen aan hun leveranciers of IT-beheerder”, licht Jonk toe.

Roy Kokkelkoren, technisch expert in het incidententeam, benadrukt dat het vooral zaak is dat informatie vlug van het NCSC bij een organisatie terechtkomt, want als je als organisatie geen kanaal hebt waarmee cyberinformatie snel tot je kan komen, en je daardoor pas na een paar dagen kan patchen, ben je al te laat. Een kwetsbaarheid zoals die in de Microsoft Exchange-server wordt doorgaans immers snel misbruikt. 

Hoe zorgt het NCSC ervoor dat iedereen bereikt wordt?

Het NCSC probeert ervoor te zorgen dat zoveel mogelijk organisaties in Nederland een kanaal hebben om cyberinformatie tot zich te laten komen door een netwerk van schakelorganisaties – zogeheten OKTT’s en CERT’s – op te bouwen en te onderhouden. Mocht een digitaal incident zoals dat met Microsoft Exchange zich voordoen, dan deelt het NCSC informatie hierover met de schakelorganisaties. Deze schakelorganisaties kunnen de informatie dan weer delen met hun partners. Op deze manier ontstaat er een landelijk dekkend stelsel waarmee het NCSC ervoor zorgt dat belangrijke cyberinformatie zo veel mogelijk organisaties op een efficiënte manier bereikt. De schakelorganisaties in dit stelsel zijn dan ook van onmiskenbaar belang. Zij zorgen er immers voor dat het NCSC een goed zicht op de situatie krijgt. Het NCSC werkt er daarom hard aan om zo veel mogelijk Nederlandse organisaties onder het landelijk dekkend stelsel te laten vallen.

Toch benadrukt Kokkelkoren dat het niet om een goed communicatiekanaal alleen gaat. “De belangrijkste les van het Microsoft Exchange-incident is dat organisaties een juiste procedure moeten hebben om noodpatches zo snel mogelijk te implementeren.” Dit is nog niet bij alle organisaties het geval, maar bij de meeste gelukkig wel. Volgens Kokkelkoren is het goed als een procedure duidelijkheid schetst over welke acties de organisatie moet nemen bij een kwetsbaarheid als die in de Microsoft Exchange-server. Voorbeelden van zulke acties zijn systeembeheerders die overwerken om patches te implementeren of systemen die de organisatie uitschakelt als het risico te groot is om ze aan te laten staan wanneer de patches nog niet beschikbaar zijn.

Naast het feit dat het NCSC cyberinformatie aan schakelorganisaties en hun deelnemers verstrekt, vindt de informatievoorziening ook andersom plaats. Organisaties kunnen bijvoorbeeld informatie over een misbruikte kwetsbaarheid of waargenomen aanval via hun schakelorganisatie doorgeven aan het NCSC. Dit is uiterst relevante informatie en het wordt dan ook erg gewaardeerd als organisaties dit delen, legt Kokkelkoren uit. Met deze informatie kan de kwaliteit van de informatievoorziening van het NCSC verbeterd worden, mede omdat er een beter totaalbeeld ontstaat van de digitale aanvallen die op dat moment in Nederland plaatsvinden.  

Waarom kan het NCSC niet elke organisatie direct bereiken?

Ondanks dat het NCSC bij het Microsoft Exchange-incident alles op alles heeft gezet om zo veel mogelijk organisaties in Nederland te bereiken, behoren alleen rijksoverheidsinstanties en vitale aanbieders tot de primaire doelgroep van het NCSC. Het NCSC heeft een landelijk dekkend stelsel georganiseerd zodat ook organisaties die niet tot deze primaire doelgroep behoren voorzien worden van relevante cyberinformatie. Daarnaast publiceert het NCSC informatie en adviezen op haar website.

Wat Martijn Jonk betreft blijft het NCSC inzetten op het informeren van organisaties die juridisch gezien niet tot de primaire doelgroep behoren: “Het past voor het NCSC niet om dat niet te doen. We hebben daar gewoon een grote verantwoordelijkheid.” Volgens Jonk is het zaak om de juridische speelruimte en het netwerk van het NCSC ten volste te benutten om andere organisaties via het landelijk dekkend stelsel te informeren zodat ze actie kunnen ondernemen tegen urgente cyberdreigingen.

Tegelijkertijd benadrukt Jonk dat er voorzichtigheid geboden is bij het delen van informatie. Er wordt momenteel gewerkt aan een aanpassing van de Wbni, de wet die de taken van het NCSC bepaalt. Met deze wetswijziging zou het NCSC meer schakelorganisaties in het landelijk dekkend stelsel van cyberinformatie kunnen voorzien, zoals IP-adressen van organisaties die mogelijk door misbruik van een cyberincident getroffen zijn. “Als overheidsorganisatie moet je de privacy van Nederlanders beschermen en een IP-adres is gewoon een persoonsgegeven. Het is altijd belangrijk om daar voorzichtig mee om te gaan”, vertelt Jonk daarover.

Hoe nu verder?

Hoewel veruit de meeste organisaties in Nederland de Microsoft Exchange-kwetsbaarheid gepatcht hebben, is de schade die deze kwetsbaarheid oplevert nog onbekend. Een kwaadwillende kan namelijk al misbruik hebben gemaakt van de kwetsbaarheid voordat een organisatie gepatcht had. Het kan bijvoorbeeld zijn dat een kwaadwillende partij al een systeem binnengekomen is en op een later moment pas ransomware installeert. De echte schade zal zich dus nog uit moeten wijzen.

Om toch af te sluiten op een positieve noot, kunnen we gelukkig altijd nog kijken naar de lessen die het NCSC van het Microsoft Exchange-incident geleerd heeft nadat het incidententeam op 23 maart is afgeschaald. “Incidenten zijn een goede manier om te oefenen en om ons scherp te houden. We leren altijd van dit soort incidenten. Je loopt altijd tegen dingen aan die je de volgende keer beter kan doen.”, zegt Jonk. Oftewel, de kans is groot dat een volgend incidententeam meer in huis zal hebben om de schade van een digitale kwetsbaarheid zo veel mogelijk te beperken.