Rackspace : Atténuation ProxyNotShell contournée par une attaque de ransomware

La société de services d'hébergement cloud géré Rackspace Technology a confirmé que l'attaque massive de ransomware du 2 décembre qui a perturbé les services de messagerie de milliers de ses petites et moyennes entreprises clientes provenait d'un exploit zero-day contre une vulnérabilité de falsification de requête côté serveur (SSRF) dans Microsoft Exchange Server, alias CVE-2022-41080.

"Nous sommes maintenant tout à fait convaincus que la cause profonde de ce cas concerne un exploit zero-day associé à CVE-2022-41080", a déclaré Karen O'Reilly-Smith, responsable de la sécurité de Rackspace, à Dark Reading dans une réponse par e-mail. "Microsoft a divulgué CVE-2022-41080 comme une vulnérabilité d'escalade de privilèges et n'a pas inclus de notes pour faire partie d'une chaîne d'exécution de code à distance qui était exploitable."

CVE-2022-41080 est un bogue que Microsoft patché en novembre. 

Un conseiller externe de Rackspace a déclaré à Dark Reading que Rackspace avait retardé l'application du correctif ProxyNotShell en raison des inquiétudes suscitées par des informations selon lesquelles il aurait causé des «erreurs d'authentification» qui, selon la société, pourraient supprimer ses serveurs Exchange. Rackspace avait précédemment mis en œuvre les mesures d'atténuation recommandées par Microsoft pour les vulnérabilités, que Microsoft considérait comme un moyen de contrecarrer les attaques.

Rackspace a engagé CrowdStrike pour l'aider dans son enquête sur les violations, et la société de sécurité a partagé ses conclusions dans un article de blog détaillant comment le groupe de rançongiciels Play était employant une nouvelle technique pour déclencher la faille ProxyNotShell RCE de la prochaine étape connue sous le nom de CVE-2022-41082 en utilisant CVE-2022-41080. Le message de CrowdStrike ne nommait pas Rackspace à l'époque, mais le conseiller externe de la société a déclaré à Dark Reading que la recherche sur la méthode de contournement de l'atténuation de Play était le résultat de l'enquête de CrowdStrike sur l'attaque contre le fournisseur de services d'hébergement.

Microsoft a déclaré à Dark Reading le mois dernier que si l'attaque contourne les mesures d'atténuation ProxyNotShell précédemment émises, elle ne contourne pas le correctif lui-même. 

Le correctif est la réponse si vous pouvez le faire », déclare le conseiller externe, notant que l'entreprise avait sérieusement pesé le risque d'appliquer le correctif à un moment où les atténuations étaient jugées efficaces et que le correctif risquait de supprimer son les serveurs. "Ils ont évalué, considéré et pesé [le risque] dont ils avaient connaissance" à ce moment-là, explique le conseiller externe. La société n'a toujours pas appliqué le correctif car les serveurs restent en panne. 

Un porte-parole de Rackspace n'a pas voulu dire si Rackspace avait payé les attaquants du ransomware.