De actie van de FBI om ongevraagd honderden met malware geïnfecteerde Microsoft Exchange-servers in de Verenigde Staten op te schonen zorgt voor gemengde reacties van beveiligingsexperts en securitybedrijven. De Amerikaanse opsporingsdienst maakte vorige week bekend dat het via een gerechtelijk bevel van honderden gecompromitteerde servers aanwezige webshells had verwijderd.

Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando’s uit te voeren. Zo zijn de webshells onder andere gebruikt voor de installatie van ransomware op de gecompromitteerde servers en het stelen van gegevens. De verwijderde webshells waren van een groep die in een vroeg stadium van Exchange-kwetsbaarheden misbruik maakte om toegang tot netwerken van Amerikaanse organisaties te krijgen. Deze webshells waren elk voorzien van een unieke pad- en bestandsnaam, waardoor het mogelijk lastiger was voor de servereigenaren om die te vinden en verwijderen.

“De FBI breekt in op Amerikaanse computers om malware te verwijderen – en overtreedt de wet om dit te doen”, zegt klokkenluider Edward Snowden. Experts laten tegenover SecurityWeek weten dat de actie een gevaarlijk precedent schept waarbij opsporingsdiensten brede toestemming krijgen om op computers in te breken waarvan wordt vermoed dat ze gecompromitteerd zijn. Er zijn echter ook experts die zich in de actie van de FBI kunnen vinden, omdat hiermee de organisaties in kwestie worden beschermd.

Een beveiligingsonderzoeker met het alias The Grugq stelt in een reactie dat de besmette Exchange-servers die zijn opgeschoond waarschijnlijk opnieuw gecompromitteerd zullen worden. Daarnaast zijn er ook de nodige juridische vragen over de gebruikte bevoegdheid. “Dit bevel is een zeer krachtige en in potentie gevaarlijk middel dat de overheid toestemming geeft om toegang tot de computers van onschuldige mensen te krijgen om zonder voorafgaande kennisgeving bestanden te verwijderen”, zegt Kurt Opsahl van de Amerikaanse burgerrechtenbeweging EFF tegenover The Washington Post.

Volgens Opsahl is het positief dat de webshells worden verwijderd, maar is de onderliggende kwetsbaarheid niet door de FBI gepatcht. “Het blijft zeer verontrustend om te zien dat de rechter de overheid toestemming geeft om computers te benaderen op basis van wat de overheid denkt dat goed voor je is”, stelt Opsahl. De FBI zal de getroffen organisaties naar eigen zeggen over de actie informeren. Via Twitter meldt de Amerikaanse opsporingsdienst dat het alleen de webshells heeft verwijderd en geen andere malware die mogelijk door de aanvallers is achtergelaten.

Image

Source