Microsoft Exchange -palvelin tietomurtojen aalto

Kirjoittanut Panu Palmu 3/2021

Exchange tietomurtojen aalto

 

Koskettaa tämä teitä tai ei, niin suosittelen lukemaan. Kyseessä on yksi suurimmista ja eniten vahinkoa aiheuttaneista tietomurtojen aalloista vuosikymmeneen. Minun työuraani ei ole koskettanut koskaan mikään vastaava tilanne.

 

Blogissa käymme läpi:

  • Mitä on tapahtunut?
  • Mikä on Microsoft Exchange -palvelin?
  • Mitä hyökkäys tarkoittaa käytännössä?
  • Miksi tämä on vakavaa?
  • Miten tämä vaikutti Etevään?
  • Case Telia Inmics-Nebula
  • Mitä tehdä, jos sähköpostit eivät toimi tai pelkäät, että tiedot on varastettu?

 

Näyttökuva 2021-3-18 kello 10-29-27
Mitä on tapahtunut?

3.3.2021 Microsoft tiedotti Exchange sähköpostipalvelimen ohjelmistossa olevista tietoturva-aukoista ja kehotti paikkaamaan ne samaan aikaan julkaisemillaan päivityksillä. Microsoftin Exchange -ohjelmisto on erittäin käytetty ratkaisu sähköpostipalvelujen tarjoamiseen ympäri maailman. 

Hakkerit ovat pyörineet sähköpostipalvelimilla jo alkuvuodesta, mutta Microsoftin tiedottaminen aukoista laukaisi massiivisen ja automatisoidun hyökkäysten aallon. Hakkerit olivat selkeästi varautuneet tämän varalta ja kartoittaneet linjoilla olevia palvelimia ja luonut työkaluja laajaa automatisoitua hyökkäystä varten.

 

Mikä on Exchange -palvelin?

Aina kun lähetät sähköpostin, niin viesti lähtee Outlookista tai vastaavasta sähköpostiohjelmasta tietokoneeltasi tai puhelimeltasi. Viesti menee sinun "omalle" palvelimelle (=keskustietokone joka käsittelee viestejä) ja sieltä se siirtyy vastaanottajan palvelimelle ja sieltä lopulta vastaanottajalle. Exchange on Microsoftin sähköpostipalvelinohjelmisto, joka säilöö ja välittää liikennettä. Exchange -ohjelmistoa käytetään isoissa yrityksissä, kouluissa ja jopa valtionhallinnossa ympäri maailman.

 

Näyttökuva 2021-3-17 kello 8.47.10

 

Miten hyökkäys on toteutettu käytännössä?

Joukko tietoturva-aukkoja on yhdessä mahdollistanut ensiksi pääsyn palvelimelle ilman tunnuksia, omien ohjelmistojen ajamisen ja tätä kautta tiedon (sähköpostiviestien) kopioimisen pois. Jahka pääsy on saatu, pyrkii hyökkääjä (automaattisesti tai manuaalisesti) asentamaan takaovia tai esim. ransomwaren palvelimelle. Takaovi mahdollistaa pääsyn, vaikka uutisoidut tietoturva-aukot paikattaisiin. Ransomware menee suoraan asiaan ja salaa tiedostot ja vaatii lunnaita tietojen palauttamiseksi. Lunnaita voidaan myös pyytää niin, että tiedot ensin kopioidaan pois ja uhataan jakaa ne verkossa.

 

Miksi tämä on vakavaa?

Nämä tietoturva-aukot ovat mahdollistaneet pääsyn käyttäjien sähköpostitileille. Eli sähköpostipalvelimella olevien käyttäjien kaikki viestit, liitteet, kontaktit ja kalenterit ovat kopioitavissa pois. Jokainen voi kuvitella sitä vahingon määrää, jos firman kaikki sähköpostit jaettaisiin nettiin sellaisenaan.

Vahinkoa ei synny vain organisaatioille, vaan myös kaikille yksilöille, keiden tietoja on sähköpostiviesteissä. Jokaisen firman maileista löytyy CV:itä, yhteystietoja, verokortteja, työsopimuksia ja mahdollisesti myös henkilökohtaisempia tietoja. En yhtään yllättyisi, jos terapeutti käyttäisi työsähköpostia muistiinpanojen kirjaamiseen tai jopa lähettämiseen "kotia" helpottaakseen työntekoa kotona omilla laitteilla. Ihmiset ovat tietoturvan heikoin lenkki (sen takia tietoturvakouluttaminen on elintärkeää).

 

Miten tämä vaikutti Etevään?

Etevän yli 1000 loppukäyttäjästä 140 henkeä oli tällaisella jaetulla Exchange-palvelimella. Etevä ryhtyi nopeisiin toimenpiteisiin ja varmistaaksemme, että tietoja ei kopioitaisi pois, päätimme lopettaa palvelimen ja siirtää sähköpostitoiminnot Microsoft Exchange Online -palveluun, joka on myös osa Microsoft 365 -pilvipalveluja (joita nämä tietoturva-aukot eivät koskeneet). Palvelin oli määrä lopettaa vuoden 2021 aikana joka tapauksessa.

 

Näyttökuva 2021-3-17 kello 15.42.36

 

Case Telia

Oletko Telia Inmics-Nebulan asiakas tai luitko (viikko 10-11, 2021), että heillä vastaava palvelin oli poissa linjoilta lähes viikon? Pitkään käyttökatkokseen vaikuttaa se, että Telialla on merkittävästi suurempi palvelinympäristö, jossa käyttäjiä on tuhansia tai jopa kymmeniä tuhansia. Heillä ei ollut optiota lopettaa palvelinta ja siirtää toimintoja pois. Heidän piti varmistaa se, ettei palvelimella ollut takaovia ennen sen palauttamista toimintaan. Näiden tietoturvariskien kartoittaminen kesti Telialla pitkään.

 

Mitä tehdä, jos sähköpostit eivät toimi tai pelkäät, että tiedot on varastettu?


Mikäli sähköpostilaatikoiden sisältö vuotaa maailmalle, on tilanne todella paha. Tämä ei enää kosketa vain organisaatiota, vaan myös kaikkia henkilöitä, kehin viitataan viesteissä. 

Tietomurrosta pitää tehdä tietosuojailmoitus Tietosuojavaltuutetun toimistoon, samoin Kyberturvallisuuskeskukselle on hyvä ilmoittaa tietoturvaloukkauksesta. Mikäli tietoja vuodetaan, pitää ilmoittaa myös kaikille niille, keitä se voi koskettaa. Tämä on jo katastrofaalinen tilanne.

Aika näyttää minkälaista vahinkoa tämä tietomurtojen aalto on saanut aikaan. Odotan kauhulla sitä uutista, kun valtiollisen toimijan sähköpostit vuodetaan nettiin. Se saattaa tapahtua minä päivänä hyvänsä.

 

Miten voit varmistaa sähköpostipalvelujen jatkuvuuden ongelmatilanteissa?

Voit valmistautua nopeaan palvelunsiirtoon Etevän avulla hyödyntäen varmistusratkaisua ja domain -palvelua. Me Etevällä pystyimme siirtämään sähköpostitoiminnot alle vuorokaudessa.

 

Tilaa toimintavarma sähköposti!

Topics: tietoturva, varmuuskopiointi, tietoturvauhka, sähköposti, tietomurto, palvelin, exchange

Haluatko kuulla uusista blogijulkaisuista ensimmäisenä? Tilaa ilmoitukset!

Jaa somessa

 

Etevä auttaa varmistamaan, että sahköpostipalvelut toimivat luotettavasti. Ota yhteyttä!
Muista Microsoft Office 365 varmuuskopiointi - Miksi?

Miljoonat suomalaiset yritykset käyttävät Microsoftin Office 365 -pilvipalvelua. Microsoft ei varmuuskopioi Office -sovellusten tiedostoja, vaan...

Lue lisää
Tietoturva-asiantuntija: Ihminen on tietoturvan heikoin lenkki!

Microsoftin 365 on yksi suosituimmista pilvipalveluista ja se mahdollistaa merkittäviä parannuksia yrityksen tekniseen tietoturvaan..

Lue lisää
Microsoft 365 Business Premium - Hyödynnä moderni tietoturva

Microsoftin 365 mahdollistaa merkittäviä parannuksia yrityksen tekniseen tietoturvaan. Mitä tietoturvaominaisuuksia olisi tärkeä ottaa käyttöön...

Lue lisää
logo-rgb_valk

Etevän sydämessä sykkii sujuva IT-tuki ja erityisosaamista löytyy luovan alan toimistojen, sekä finanssialan yritysten IT-ympäristöjen ja tietoturvaratkaisujen tuottamisessa.

Y-tunnus 1981812-8

Myynti

Eteva_icon_valk_tyhja  09 - 42 550 338
Avoinna arkisin 08:00 - 16:00 

Eteva_mail_icon_valk_tyhjamyynti@etevat.fi Sovi tapaaminen

IT-tuki

Eteva_icon_valk_tyhja09 - 427 20 929
Avoinna arkisin 08:00 - 16:00 

Eteva_mail_icon_valk_tyhjaapu@etevat.fiLataa tukiohjelmisto
Dell Authorized partner_valk
Microsoft_silv_part_valk
hp-business-partner_valk
F-Secure_horizontal_Silver_RGB_white
CSP_Partner_Silver_logo-white
apple-certified-support-professional_white2
© Etevä tietopalveluyhtiö