‘Als een open voordeur’: hackers nestelen zich via een gat in Microsoft Sharepoint

Eindelijk zijn alle updates er. Microsoft heeft vannacht de oplossing uitgebracht voor de laatste SharePoint-versie die getroffen was door het nieuwe beveiligingslek. Een kwetsbaarheid in het populaire programma werd zaterdagnacht ontdekt, waardoor hackers vrijwel ongehinderd computersystemen kunnen binnendringen. Getroffenen moeten de update nu snel installeren. De dreiging is echter nog niet afgewend.

Beveiligingsbedrijven meldden aan Reuters dat hackers wereldwijd al zo'n 100 organisaties hebben binnengedrongen – naar verluidt voornamelijk in Duitsland en de Verenigde Staten. Onder de slachtoffers bevinden zich bedrijven, maar ook overheidsinstellingen en universiteiten.

SharePoint-servers worden gebruikt om bestanden te delen met medewerkers of externe partners. Potentiële slachtoffers van deze hack zijn alle organisaties die zelf SharePoint-servers beheren, en niet via Microsoft Cloud 365. Volgens beveiligingsbedrijven die door Reuters worden geciteerd, doen wereldwijd 8.000 tot 9.000 organisaties dit.

De kwetsbaarheid heeft een score van 9,8 op een schaal van 0 tot 10, wat hem bijzonder kritiek maakt. David Gugelmann, oprichter van het in Zürich gevestigde IT-beveiligingsbedrijf Exeon, legt uit waarom: "Via dit beveiligingslek kan elke hacker rechtstreeks toegang krijgen tot de systemen vanaf het internet. Het is als een open deur."

Normaal gesproken zijn een account en wachtwoord nodig om in te loggen. "Door de ontdekte kwetsbaarheid kunnen hackers zonder account direct verbinding maken met de server om gegevens te stelen of andere aanvallen voor te bereiden", aldus Gugelmann.

Het Nederlandse IT-beveiligingsbedrijf Eye Security was blijkbaar de eerste die de hackeraanval opmerkte. Het kreeg vrijdagavond een melding van een klant over een verdacht bestand. De eerste hypothese was dat iemand een wachtwoord had gestolen of gekraakt en zo het schadelijke bestand op de server had gesmokkeld, schrijft Eye Security op zijn website.

Uit logs bleek echter dat de ongeautoriseerde activiteit plaatsvond na een uitlogverzoek en zonder een herkenbare gebruikersnaam. Het personeel van Eye Security realiseerde zich dat dit een dieperliggend probleem was dat meerdere servers wereldwijd zou kunnen treffen.

Dit vermoeden zou snel worden bevestigd. Vandaag is het duidelijk dat de aanvallers misbruik maakten van een kwetsbaarheid die maanden geleden al door ethische hackers was ontdekt en aan Microsoft was gemeld, maar die nog niet volledig was gepatcht.

Michael Sikorski van IT-beveiligingsbedrijf Palo Alto Networks beschreef de aanhoudende dreiging in een persbericht: "Als bedrijven SharePoint lokaal gebruiken en het is verbonden met internet, moeten ze er vanaf dit punt vanuit gaan dat ze zijn gecompromitteerd." Het verhelpen van de kwetsbaarheid met een update is niet voldoende om de dreiging volledig uit te sluiten.

De kwetsbaarheid bleef dagenlang openstaan, dagen waarop hackers misbruik maakten. Gugelmann zegt: "Hackers kunnen automatisch het internet afspeuren naar kwetsbaarheden – en wachtwoorden stelen of toegang op afstand installeren op getroffen systemen." Om bij de voordeurmetafoor te blijven: het is alsof inbrekers een sleutel stelen of kopiëren waarmee ze binnen kunnen komen, zelfs nadat de voordeur gesloten is.

Iedere gebruiker van de getroffen software moet daarom ook na de update zijn servers controleren op vijandige bestanden en het bedrijfsnetwerk voortdurend in de gaten houden.

Gugelmann raadt dit in ieder geval aan. Want zelfs als deze ene kwetsbaarheid is gevonden, moet men er altijd van uitgaan dat er andere kwetsbaarheden in computersystemen zijn die simpelweg nog niet zijn ontdekt. Computers zijn nooit volledig veilig in de huidige netwerkwereld.