Virksomheden Rackspace Technology, der administrerer cloud-hostingtjenester, har bekræftet, at det massive ransomware-angreb den 2. december, der forstyrrede e-mail-tjenester for tusindvis af deres små til mellemstore erhvervskunder, kom via en nul-dages udnyttelse mod en sårbarhed med server-side request forgery (SSRF) i Microsoft Exchange Server, aka CVE-2022-41080.
"Vi er nu meget overbeviste om, at grundårsagen i denne sag vedrører en nul-dages udnyttelse forbundet med CVE-2022-41080," sagde Karen O'Reilly-Smith, sikkerhedschef for Rackspace, til Dark Reading i et e-mailsvar. "Microsoft afslørede CVE-2022-41080 som en privilegieeskaleringssårbarhed og inkluderede ikke noter om at være en del af en fjernudførelseskæde for kode, der kunne udnyttes."
CVE-2022-41080 er en fejl, som Microsoft lappet i november.
En ekstern rådgiver for Rackspace fortalte Dark Reading, at Rackspace havde holdt ud med at anvende ProxyNotShell-patchen på grund af bekymringer over rapporter om, at det forårsagede "godkendelsesfejl", som virksomheden frygtede kunne tage deres Exchange-servere ned. Rackspace havde tidligere implementeret Microsofts anbefalede begrænsninger af sårbarhederne, som Microsoft havde anset som en måde at forpurre angrebene på.
Rackspace hyrede CrowdStrike til at hjælpe med efterforskningen af brud, og sikkerhedsfirmaet delte sine resultater i et blogindlæg, der beskriver, hvordan Play ransomware-gruppen var bruge en ny teknik for at udløse næste trins ProxyNotShell RCE-fejl kendt som CVE-2022-41082 ved hjælp af CVE-2022-41080. CrowdStrikes indlæg navngav ikke Rackspace på det tidspunkt, men virksomhedens eksterne rådgiver fortæller til Dark Reading, at forskningen om Plays mitigation bypass-metode var resultatet af CrowdStrikes undersøgelse af angrebet på hostingtjenesteudbyderen.
Microsoft fortalte Dark Reading i sidste måned, at selvom angrebet omgår tidligere udstedte ProxyNotShell-begrænsninger, omgår det ikke selve patchen.
Patching er svaret, hvis du kan gøre det,” siger den eksterne rådgiver og bemærker, at virksomheden seriøst havde afvejet risikoen ved at anvende plasteret på et tidspunkt, hvor afhjælpningerne siges at være effektive, og plasteret kom med risiko for at tage det ned. servere. "De vurderede, overvejede og vejede [den risiko], de vidste om" på det tidspunkt, siger den eksterne rådgiver. Virksomheden har stadig ikke anvendt patchen, da serverne forbliver nede.
En Rackspace-talsmand ville ikke kommentere på, om Rackspace havde betalt ransomware-angriberne.
