Firma Rackspace Technology, zarządzająca usługami hostingu w chmurze, potwierdziła, że masowy atak ransomware z 2 grudnia, który zakłócił usługi poczty e-mail dla tysięcy jej małych i średnich klientów biznesowych, nastąpił za pośrednictwem exploita zero-day przeciwko luce w zabezpieczeniach związanej z fałszowaniem żądań po stronie serwera (SSRF). w Microsoft Exchange Server, tzw CVE-2022-41080.
„Jesteśmy teraz bardzo pewni, że główna przyczyna w tym przypadku dotyczy exploita dnia zerowego związanego z CVE-2022-41080”, powiedziała Karen O'Reilly-Smith, dyrektor ds. „Microsoft ujawnił lukę CVE-2022-41080 jako lukę w zabezpieczeniach umożliwiającą eskalację uprawnień i nie dołączył uwag dotyczących przynależności do łańcucha zdalnego wykonywania kodu, który można wykorzystać”.
CVE-2022-41080 to błąd, który Microsoft poprawione w listopadzie.
Zewnętrzny doradca Rackspace powiedział Dark Reading, że Rackspace wstrzymał się z zastosowaniem poprawki ProxyNotShell w związku z obawami dotyczącymi doniesień, że powoduje ona „błędy uwierzytelnienia”, które zdaniem firmy mogą spowodować wyłączenie jej serwerów Exchange. Rackspace wcześniej wdrożył zalecane przez Microsoft środki zaradcze dla luk, które Microsoft uznał za sposób na udaremnienie ataków.
Rackspace zatrudnił CrowdStrike do pomocy w dochodzeniu w sprawie naruszenia, a firma zajmująca się bezpieczeństwem podzieliła się swoimi ustaleniami w poście na blogu, szczegółowo opisującym, w jaki sposób grupa ransomware Play została stosując nową technikę w celu uruchomienia kolejnego etapu luki ProxyNotShell RCE znanej jako CVE-2022-41082 przy użyciu CVE-2022-41080. W poście CrowdStrike nie wymieniono wówczas nazwy Rackspace, ale zewnętrzny doradca firmy powiedział Dark Reading, że badania dotyczące metody omijania łagodzenia przez Play były wynikiem dochodzenia CrowdStrike w sprawie ataku na dostawcę usług hostingowych.
Microsoft powiedział Dark Reading w zeszłym miesiącu, że chociaż atak omija wydane wcześniej zabezpieczenia ProxyNotShell, nie omija samej łatki.
Łatanie jest odpowiedzią, jeśli możesz to zrobić”, mówi zewnętrzny doradca, zauważając, że firma poważnie rozważyła ryzyko zastosowania poprawki w czasie, gdy mówiono, że środki zaradcze są skuteczne, a łatka wiązała się z ryzykiem usunięcia jej serwery. „Ocenili, rozważyli i zważyli [ryzyko], o którym wiedzieli” w tamtym czasie, mówi zewnętrzny doradca. Firma nadal nie zastosowała łatki, ponieważ serwery pozostają wyłączone.
Rzecznik Rackspace nie skomentował, czy Rackspace zapłacił atakującym ransomware.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
