Oppdaget uregel­messigheter. E-post ute av spill i to dager

Høgskolen i Østfold har oppdaget uregelmessigheter på sine e-postservere i etterkant av en kjent problemstilling og sikkerhetshull knyttet til Microsofts Exchange server. Problemene ble varslet i forrige uke.

Serveren på Høgskolen i Østfold ble patchet, somd et heter, umiddelbart etter varslingen, og viste ingen tegn på problem.

Ved ny gjennomgang denne uken ble uregelmessigheter avdekket. Ekstern sikkerhetshjelp er hentet inn, og høgskolens e-postsystem ble tatt ned for å kunne analyseres offline.

Annonse

BLI VARSLET
OM SISTE NYTT
Last ned Khrono-appen og få varsel om de viktigste nyhetene - både nasjonalt og nær deg
-

Høgskolens e-postsystem har vært ute av drift i to dager og de er nå i gang med å sette opp nye e-postservere.

TV2 melder onsdag ettermiddag at man på Stortinget også har oppdaget uregelmessigheter av samme årsak som Høgskolen i Østfold.

Begrenser eventuelt skadeomfang

— Vet dere hva som har skjedd, eventuelt hentet ut?

— Det jobber våre egne eksperter og den eksterne ekspertisen med nå. Vi har per nå kun indikasjoner på at det er brukt automatiserte skript for å forsøke å legge igjen en bakdør. Det er så langt ingen indikasjoner på at det er data på avveie, eller at det skal ha vært faktiske uvedkommende inne på serveren, svarer informasjonssjef på Høgskolen i Østfold, Tore Petter Engen, til Khrono.

Han forteller at høgskolen følger de anbefalinger som er gjort for situasjoner der man oppdager uregelmessigheter.

— Vi har stengt e-postssystemet og setter opp et nytt, dermed begrenser vi eventuelt et skadeomfang etter alle anbefalinger, legger Engen til.

Avdekket i forrige uke

Sårbarhetene ble avdekket og varslet om tirsdag kveld i forrige uke.

Men alle virksomheter som ikke hadde benyttet seg av den påfølgende oppgraderingen av Microsoft Exchange innen utgangen av 3. mars, må anta at de er under angrep, advarer myndighetene.

Det er E24 som skriver dette fredag 5. mars.

Situasjonen kalles en nulldags-utnyttelse, fordi fiendtlige aktører kan ha vært klar over svakheten før den ble avdekket av Microsoft. Fredag 5. mars bekrefter Nasjonalt cybersikkerhetssenter at sårbarheten har blitt utnyttet i Norge.

— Vi kan bekrefte at vi har registrert utnyttelse av disse sårbarhetene i Norge. Foreløpig har vi et begrenset omfang av utnyttelse, men dette er en sak under utvikling og i stadig endring, sier seksjonsleder Tom-André Røgden ved Nasjonalt cybersikkerhetssenter (NCSC) til E24.

— En svært alvorlig situasjon

— Dette er en svært alvorlig situasjon, som kan få store konsekvenser, sier Bente Hoff, avdelingsdirektør i NSM og leder av NSM Nasjonalt cybersikkerhetssenter, i en pressemelding publisert på nettsidene til NSM.

Hun fortsetter:

— Vi har sett utnyttelse av disse sårbarhetene i Norge allerede. Foreløpig har vi et begrenset omfang av utnyttelse, men dette er en sak under rask utvikling. Det er viktig at alle som bruker Microsoft Exchange-servere oppdaterer disse så fort som mulig.

Engen ved Høgskolen i Østfold forteller til Khrono at de både har varslet Datatilsynet og Nasjonal Sikkerhetsmyndighet (NSM) som rutinene er i slike tilfeller.

UniNett: Følger situasjonen nøye

I en nettsak på uninett.no skriver Uninett at de samarbeider med Microsoft Norge i den pågående saken.

— Enhver sårbarhet på digitale tjenester som er tilgjengelige via internett vil tiltrekke seg trusselaktører, forklarer Anders Lund, avdelingsdirektør for sikkerhetstjenester i Uninett AS.

Lund legger til:

— Vi vet sjelden eller aldri hvilket konkret mål disse aktørene har ved et konkret angrep, men motivene er ofte relatert til statlig etterretning eller økonomisk vinning. Mer uerfarne trusselaktører ønsker gjerne å teste sårbarheter og forsøke seg på datainnbrudd for å se om det i det hele tatt er praktisk mulig å gjennomføre. Sistnevnte type angrep foregår mer eller mindre kontinuerlig mot eksponert infrastruktur.

Flere skal ha utnytte sårbarheten

Enkelte kilder melder at bred, aktiv utnyttelse kan ha startet så tidlig som 27. februar, skriver Nasjonal sikkerhetsmyndighet (NSM) i pressemeldingen tirsdag i forrige uke. Derfor ber Nasjonalt cybersikkerhetssenter (NCSC) nå alle som bruker Microsoft Exchange om å ettergå data fra før oppgraderingen.

Sårbarhetene i Microsoft Exchange som NCSC varslet om tirsdag kveld er nå under aktiv utnyttelse av avanserte og ikke-avanserte trusselaktører.

Industrien rapporterer om bred scanning og utnyttelse «in the wild» i tillegg til målrettede angrep. Sikkerhetsselskapet ESET melder at flere aktører utnytter sårbarheten. Det er sannsynlig at løsepengevirus-aktører vil utnytte sårbarheten i løpet av kort tid.

I pressemeldingen understreker NCSC at det ikke er tilstrekkelig å kun installere sikkerhetspatchene fra Microsoft da de ble publisert. Alle virksomheter bør også undersøke sine Exchange-løsninger etter tegn på kompromittering som beskrevet av CISA, Microsoft og Volexity.

Endringslogg:

10. mars kl. 20.50: Oppdatert med kommentarer fra Uninett.