Een serieuze kwetsbaarheid in zogeheten SharePoint-servers, die organisaties wereldwijd gebruiken voor het delen van documenten, wordt momenteel actief misbruikt door hackers. Zeker enkele Nederlandse organisaties en tientallen wereldwijd – waaronder Amerikaanse overheden en zorginstellingen – zijn al gehackt.
is onderzoeksjournalist bij de Volkskrant met als specialisatie cybersecurity en inlichtingendiensten.
Mogelijk tot 9000 bedrijven lopen het risico gecompromitteerd te worden. Het actieve misbruik via SharePoint werd vrijdagavond ontdekt door het Nederlandse Eye Security, dat een melding kreeg bij een klant.
Na verder onderzoek zagen specialisten van Eye dat er sprake was van ‘massale activiteit’ van hackers, zegt Lodi Hensen, cybersecurity-expert van Eye Security. ‘Wat deze kwetsbaarheid extra vervelend maakt, is dat we het vlak voor het weekend in een vakantieperiode ontdekten. Veel bedrijven komen daardoor pas laat in actie.’
Tot maandag was er ook geen oplossing beschikbaar. Inmiddels heeft Microsoft een noodupdate uitgestuurd. Organisaties moeten die wel zelf uitvoeren. Hensen noemt de kwetsbaarheid ‘heel serieus’ en zegt dat misbruik ervan relatief eenvoudig is.
Hensen weet niet of de hackers die toeslaan criminele of andere intenties hebben. ‘Daarvoor is het nog te vroeg en moeten we extra onderzoek doen.’ Eye heeft een scanscript gedeeld waarmee organisaties op afstand kunnen controleren of ze zijn gehackt.
Bedrijven en overheden gebruiken SharePoint als een deelplatform: werknemers werken er samen in documenten. Het is vergelijkbaar met Microsoft365. Afhankelijk van de informatie die via SharePoint te vinden is, kunnen hackers bedrijfsdata inzien, persoonsgegevens stelen of verder het netwerk binnendringen.
Lodi Hensen: ‘In de praktijk zien we nog weleens dat het schort aan IT-hygiëne op dit soort plekken: naast persoonsgegevens kunnen er gevoelige data op staan, evenals configuratiebestanden van bedrijfssoftware.’
Volgens Hensen laat het misbruik zien dat organisaties er altijd vanuit moeten gaan dat er een weg naar binnen is. Hij ziet dat veel bedrijven geld uitgeven aan detectiesystemen maar niet altijd investeren in mensen die vervolgens kunnen kijken en ingrijpen als er verdachte meldingen zijn.
‘Je kunt een mooi duur camerasysteem rond je huis ophangen maar als je de beelden niet bekijkt, kun je de inbraak alleen achteraf terugzien. Liever zie je het gebeuren, bel je de politie, en wordt de dief aangehouden voordat hij er met je spullen vandoor is.’
De laatste jaren komt het vaker voor dat kwetsbare apparatuur die met het internet verbonden is, wordt geëxploiteerd door hackers. Vorige week moest het Openbaar Ministerie nog de drastische stap zetten om de organisatie los te koppelen van het internet nadat misbruik van een lek in een bepaalde software, Citrix-Netscaler, was ondekt.
Eerder waren daar al kwetsbaarheden in gevonden en rond de NAVO-top hadden Nederlandse organisaties updates uitgevoerd. Desondanks was een aantal van hen al geïnfecteerd voordat het lek was gedicht.
Hensen: ‘Wees bewust welke systemen je direct aan het internet hangt. Is het allemaal noodzakelijk? We zien aan de lopende band dit soort aanvallen. Niet altijd op de schaal zoals nu met SharePoint maar wel vaak gericht op systemen die direct aan het internet hangen.’
Luister hieronder ook naar de podcast Schaduwoorlog. Al onze podcasts vind je op volkskrant.nl/podcasts.
Wilt u belangrijke informatie delen?
Mail naar tips@volkskrant.nl of kijk op onze tippagina.
Geselecteerd door de redactie
Source: Volkskrant