Das Managed-Cloud-Hosting-Dienstleistungsunternehmen Rackspace Technology hat bestätigt, dass der massive Ransomware-Angriff vom 2. Dezember, der die E-Mail-Dienste für Tausende seiner kleinen bis mittelständischen Geschäftskunden unterbrach, über einen Zero-Day-Exploit gegen eine Server-Side Request Forgery (SSRF)-Schwachstelle erfolgte in Microsoft Exchange Server, auch bekannt als CVE-2022-41080.
„Wir sind jetzt sehr zuversichtlich, dass die Ursache in diesem Fall ein Zero-Day-Exploit im Zusammenhang mit CVE-2022-41080 ist“, sagte Karen O'Reilly-Smith, Chief Security Officer von Rackspace, in einer E-Mail-Antwort an Dark Reading. „Microsoft hat CVE-2022-41080 als Schwachstelle bei der Rechteausweitung offengelegt und keine Hinweise darauf gegeben, dass es Teil einer ausnutzbaren Remote-Code-Ausführungskette ist.“
CVE-2022-41080 ist ein Fehler, den Microsoft im November gepatcht.
Ein externer Berater von Rackspace teilte Dark Reading mit, dass Rackspace die Anwendung des ProxyNotShell-Patches aufgrund von Bedenken wegen Berichten zurückgehalten habe, dass dieser „Authentifizierungsfehler“ verursacht habe, von denen das Unternehmen befürchtete, dass sie seine Exchange-Server lahmlegen könnten. Rackspace hatte zuvor die von Microsoft empfohlenen Maßnahmen zur Schadensbegrenzung für die Schwachstellen implementiert, die Microsoft als Möglichkeit betrachtete, die Angriffe zu vereiteln.
Rackspace beauftragte CrowdStrike mit der Untersuchung der Verletzung, und die Sicherheitsfirma teilte ihre Ergebnisse in einem Blogbeitrag mit, in dem detailliert beschrieben wird, wie es um die Play-Ransomware-Gruppe stand eine neue Technik anwenden um den ProxyNotShell RCE-Fehler der nächsten Stufe, bekannt als CVE-2022-41082, mit CVE-2022-41080 auszulösen. Der Post von CrowdStrike nannte Rackspace zu diesem Zeitpunkt nicht, aber der externe Berater des Unternehmens teilte Dark Reading mit, dass die Recherche zur Minderungs-Bypass-Methode von Play das Ergebnis von CrowdStrikes Untersuchung des Angriffs auf den Hosting-Dienstleister war.
Microsoft teilte Dark Reading im vergangenen Monat mit, dass der Angriff zwar zuvor herausgegebene ProxyNotShell-Abwehrmaßnahmen umgeht, nicht aber den eigentlichen Patch selbst.
Patchen ist die Antwort, wenn Sie es tun können“, sagt der externe Berater und stellt fest, dass das Unternehmen das Risiko der Anwendung des Patches zu einem Zeitpunkt ernsthaft abgewogen hatte, als die Mindermaßnahmen als wirksam galten und der Patch mit dem Risiko verbunden war, ihn zu entfernen Server. „Sie haben [das ihnen bekannte Risiko] damals bewertet, bedacht und abgewogen“, sagt der externe Berater. Das Unternehmen hat den Patch immer noch nicht angewendet, da die Server weiterhin ausgefallen sind.
Ein Rackspace-Sprecher wollte sich nicht dazu äußern, ob Rackspace die Ransomware-Angreifer bezahlt hatte.
