Perusahaan layanan cloud hosting terkelola Rackspace Technology telah mengonfirmasi bahwa serangan ransomware besar-besaran pada 2 Desember yang mengganggu layanan email untuk ribuan pelanggan bisnis kecil hingga menengah datang melalui eksploitasi zero-day terhadap kerentanan pemalsuan permintaan sisi server (SSRF). di Microsoft Exchange Server, alias CVE-2022-41080.
โKami sekarang sangat yakin bahwa akar penyebab dalam kasus ini berkaitan dengan eksploitasi zero-day yang terkait dengan CVE-2022-41080,โ kata Karen O'Reilly-Smith, kepala petugas keamanan Rackspace, kepada Dark Reading dalam tanggapan email. โMicrosoft mengungkapkan CVE-2022-41080 sebagai kerentanan eskalasi hak istimewa dan tidak menyertakan catatan sebagai bagian dari rantai eksekusi kode jarak jauh yang dapat dieksploitasi.โ
CVE-2022-41080 adalah bug yang dibuat oleh Microsoft ditambal pada bulan November.
Penasihat eksternal untuk Rackspace mengatakan kepada Dark Reading bahwa Rackspace telah menunda penerapan patch ProxyNotShell di tengah kekhawatiran atas laporan bahwa hal itu menyebabkan "kesalahan otentikasi" yang dikhawatirkan perusahaan dapat menghapus Server Exchange-nya. Rackspace sebelumnya telah menerapkan mitigasi yang direkomendasikan Microsoft untuk kerentanan, yang dianggap Microsoft sebagai cara untuk menggagalkan serangan.
Rackspace menyewa CrowdStrike untuk membantu penyelidikan pelanggarannya, dan firma keamanan tersebut membagikan temuannya dalam postingan blog yang merinci bagaimana grup ransomware Play itu menggunakan teknik baru untuk memicu cacat RCE ProxyNotShell tahap berikutnya yang dikenal sebagai CVE-2022-41082 menggunakan CVE-2022-41080. Posting CrowdStrike tidak menyebutkan nama Rackspace pada saat itu, tetapi penasihat eksternal perusahaan memberi tahu Dark Reading bahwa penelitian tentang metode bypass mitigasi Play adalah hasil penyelidikan CrowdStrike terhadap serangan terhadap penyedia layanan hosting.
Microsoft mengatakan kepada Dark Reading bulan lalu bahwa sementara serangan itu melewati mitigasi ProxyNotShell yang dikeluarkan sebelumnya, itu tidak melewati tambalan yang sebenarnya itu sendiri.
Menambal adalah jawaban jika Anda bisa melakukannya, โpenasihat eksternal mengatakan, mencatat bahwa perusahaan telah mempertimbangkan dengan serius risiko penerapan tambalan pada saat mitigasi dikatakan efektif dan tambalan datang dengan risiko menurunkannya. server. โMereka mengevaluasi, mempertimbangkan, dan menimbang [risiko] yang mereka ketahuiโ pada saat itu, kata penasihat eksternal. Perusahaan masih belum menerapkan tambalan karena server masih down.
Seorang juru bicara Rackspace tidak mengomentari apakah Rackspace telah membayar penyerang ransomware.
