Exchange-servere udløser alvorlig sikkerhedsrisiko

Brugere af hostede Exchange-servere skal være varsomme med fortrolige oplysninger i de offentlige mapper. En sikkerhedsbrist i programmet fra Microsoft gør det nemlig muligt for andre virksomheder at kigge med i mapperne.

En række danske virksomheder vælger at have en Exchange-server hos et hostingfirma, således at medarbejderne kan få adgang til forskellige fælles ting via Outlook, såsom kalender og mail. En smart løsning, for de virksomheder der vil forøge sikkerheden, få flere faciliteter og spare penge.

Men blandt flere faciliteter gemmer sig også mulighed for at kigge med i andre virksomheders interne mapper. Det kan være et alvorligt sikkerhedsproblem, for de virksomheder der benytter fællesmapperne til fortrolige oplysninger om eksempelvis kunder.

Hos et århusiansk konsulentfirma er de koblet op på en hostet Exchange-server. De bruger blandt andet deres Exchange-server til at gemme oplysninger om new bizz. I den tro, at alt hvad der gemmes her er fortroligt og kun tilgængeligt for konsulentfirmaets medarbejdere, kan der stå ret så følsomme oplysninger.

Men sådan hænger det ikke sammen. De øvrige virksomheder, der er koblet op på Exchange-serveren, der er hosted hos ScanNet, har også haft adgang til konsulentfirmaets mapper om new bizz - uden at konsulentfirmaet har vidst noget om det.

Først da Cimber Air Data, der også er koblet op på Exchange-serveren, sendte en mail til konsulentfirmaet, blev de opmærksom på, at der i det seneste halve år har været adgang til de fortrolige mapper for andre end deres medarbejdere.

ScanNet kender til problemet
»Da vi overgik til Exchange-server for et år siden, fandt vi frem til en række andre virksomheders fortrolige mapper under offentlige mapper,« fortæller Bjarne O. Andersen, systemadministrator hos Cimber Air Data.

Dengang gjorde de ScanNet opmærksom på problemet. ScanNet løste dengang problemet ved manuelt at gennemgå kundernes administrations mapper, for at tjekke at ingen af dem havde givet anonym- eller standardbrugeren nogle rettigheder. Det er nemlig her det går galt.

Hvis de to brugere, anonym og standard, får adgang til de offentlige mapper, så bliver mapperne tilgængelige for samtlige virksomheder på Exchange-serveren.
Men nu er den så gal igen. Cimber Air Data har endnu engang fået adgang til en række andre virksomheders offentlige mapper.

Et screendump, som ComON er kommet i besiddelse af, viser, hvordan Cimber Air Data har kunne følge med i konsulentfirmaets liste og kommentarer over new bizz.

Hos ScanNet erkender de, at der har været problemer.

»Vi tjekker hver uge om der er nogle af vores kunder der ved en fejl har givet anonym- eller standardbrugeren adgang til de offentlige mapper. Hvis det er tilfældet, så nulstiller vi rettighederne,« forklarer Jesper Christensen fra ScanNet.

ScanNet kontakter ikke kunderne, når der har været åbnet op for de følsomme virksomhedsoplysninger, kun i de tilfælde hvor kunderne har givet adgang til samtlige mapper.

»Hvis der er tale om enkelt mappe, så beror det sikkert på en fejl, som vi så bare retter,« siger Jesper Christensen.

Fejlen ligger hos Microsoft
Det er ikke en fejl hos ScanNet, der er årsag til problemet, men derimod en opsætning hos Microsoft der giver problemer.

Når en Exchange-server bruges af en enkelt virksomhed, så er det meget smart at alle kan få adgang til mapperne. Problemet opstår først når flere virksomheder kobles op på den samme Exchange server, sådan som det sker hos hostingsfirmaer. Det er nemlig ikke muligt at fjerne anonym- og standardbrugeren fra programmet fra Microsoft.

Og hvis anonym- og standardbrugeren får tildelt rettigheder, så er det, at der er fri adgang for alle på serveren til virksomhedens oplysninger, der er gemt i de offentlige mapper.

Hos Microsoft er de godt klar over problematikken, men løsningen er ikke lige rundt om hjørnet.

»Det er et klart ønske fra hostingfirmaerne, at anonym- og standardbrugeren fjernes fra programmet,« siger Torben Pedersen, produktchef hos Microsoft, der dog ikke kan komme med en nøjagtig dato for, hvornår der vil komme en løsning på problemet.

»Vi lytter til feedbacken og arbejder på en løsning,« siger Torben Pedersen. Han ved endnu ikke, om der bliver tale om en speciel hosting-udgave af Exchange-servere.

Alternativ løsning
Microsoft mener, at det også er et spørgsmål om uddannelse.

»Det er ikke alle, der har adgang til rettighederne, det er kun administratorerne. Det bør være muligt at informere dem om de konsekvenser, det kan få, hvis man giver anonym- eller standardbrugeren adgang til sine offentlige mapper,« siger Torben Pedersen.

»Offentlige mapper er gode til nogle ting, men absolut ikke gode til alting,« siger Torben Pedersen og understreger at nogle virksomheder bør benytte sig af intranet fremfor offentlige mapper.

»Trenden går fra offentlige mapper og i retning af intranet. Det giver bedre muligheder for dokumenthåndtering,« siger Torben Pedersen.

Årsag til fejlen:

Hvis administratorerne giver anonym- eller standardbrugeren adgang til de offentlige mapper i en hostet Exchange-løsning, så åbner de op for alle de virksomheder der er på Exchange-serveren - altså ikke bare den enkelte virksomhed, men for samtlige virksomheder, der er koblet på serveren.
For at kunden overhovedet kan redigere i de offentlige mapper, skal brugeren logge ind på http://admin.exserver.dk (stedet hvor brugerne oprettes) og sætte flueben i "administrator af offentlige mapper".
Når dette gøres, skrives nedenstående til brugeren:
»VIGTIGT VEDR. OFFENTLIGE MAPPER!
Redigeres der i rettighederne på offentlige mapper, er det vigtigt at brugeren Standard og Anonym ikke tildeles adgangen Mappe synlig. Dette vil gøre mappen synlig for alle brugere på systemet, ikke kun brugere i domænet.«




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Konsulentydelser og branchespecifikke softwareløsninger til retail, e-Commerce, leasing og mediebranchen.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere