Microsoft wist begin januari al van grote lekken in Exchange-servers

Microsoft werd "begin januari" voor het eerst op de hoogte gebracht van de kwetsbaarheden in Exchange Server. Dat zegt Microsoft tegen veiligheidsexpert Brian Krebs, die een tijdlijn de beveiligingsproblemen met Microsoft Exchange in kaart heeft gebracht. Maandag waren naar schatting al 250.000 bedrijven slachtoffers van de lekken. In Nederland is 40 procent van de betreffende servers nog kwetsbaar, waarschuwde cyberwaakhond NCSC.

Veiligheidsonderzoekers meldden het lek voor het eerst op 5 januari bij Microsoft. Daarna volgden meldingen van verschillende beveiligingsbedrijven. Microsoft zei op 8 februari een intern onderzoek te versnellen, en beloofde later op 9 maart meer naar buiten te brengen over de kwetsbaarheid.

Noodupdate

Op 26 en 27 februari nam misbruik van de kwetsbaarheid volgens Krebs wereldwijd fors toe. Microsoft reageerde op 2 maart met zijn noodupdate, die een week eerder dan gepland verscheen. Inmiddels is het lek al op grote schaal misbruikt door Chinese hackersgroep Hafnium.

Meer kapers op de kust

Sindsdien zijn er nog vier hackersgroepen op het Exchange-lek gedoken, zegt Katie Nickels van cyberveiligheidsbedrijf Red Canary tegen MIT Technology Review. "Er zijn minstens vijf verschillende clusters van activiteit die de kwetsbaarheden misbruiken", zegt Nickels.

Onderzoekers brengen cyberaanvallen in kaart aan hand van clusters, waarin aanvallen worden gesorteerd op basis van technieken, tactieken, procedures, gebruikte apparaten en andere kenmerken. "Sinds Microsoft over Hafnium schreef, is het groter geworden dan Hafnium. We zien activiteit die verschillende tactieken, technieken en procedures gebruikt dan waar zij melding van hebben gemaakt", aldus Nickels. 

De Amerikaanse regering zei maandag al een taakgroep op het lek te zetten. Dinsdag bleek dat zes Duitse overheidsinstanties slachtoffer zijn geworden van de lekken.