Rackspace: Mitigações de ProxyNotShell ignoradas por ataque de ransomware

A empresa de serviços gerenciados de hospedagem em nuvem Rackspace Technology confirmou que o enorme ataque de ransomware de 2 de dezembro que interrompeu os serviços de e-mail para milhares de seus clientes de pequenas e médias empresas veio por meio de uma exploração de dia zero contra uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF). no Microsoft Exchange Server, também conhecido como CVE-2022-41080.

“Agora estamos altamente confiantes de que a causa raiz neste caso pertence a uma exploração de dia zero associada ao CVE-2022-41080”, disse Karen O’Reilly-Smith, diretora de segurança da Rackspace, à Dark Reading em uma resposta por e-mail. “A Microsoft divulgou CVE-2022-41080 como uma vulnerabilidade de escalonamento de privilégios e não incluiu notas por fazer parte de uma cadeia de execução remota de código que era explorável.”

CVE-2022-41080 é um bug que a Microsoft corrigido em novembro. 

Um consultor externo da Rackspace disse à Dark Reading que a Rackspace adiou a aplicação do patch ProxyNotShell em meio a preocupações sobre relatos de que ele causava “erros de autenticação” que a empresa temia que pudessem derrubar seus servidores Exchange. A Rackspace já havia implementado as mitigações recomendadas pela Microsoft para as vulnerabilidades, que a Microsoft considerou uma forma de impedir os ataques.

A Rackspace contratou a CrowdStrike para ajudar na investigação de violação, e a empresa de segurança compartilhou suas descobertas em uma postagem de blog detalhando como o grupo de ransomware Play foi empregando uma nova técnica para acionar a falha ProxyNotShell RCE de próximo estágio conhecida como CVE-2022-41082 usando CVE-2022-41080. A postagem da CrowdStrike não citava o nome da Rackspace na época, mas o consultor externo da empresa disse à Dark Reading que a pesquisa sobre o método de desvio de mitigação do Play foi o resultado da investigação da CrowdStrike sobre o ataque ao provedor de serviços de hospedagem.

A Microsoft disse ao Dark Reading no mês passado que, embora o ataque contorne as mitigações do ProxyNotShell emitidas anteriormente, ele não ignora o patch em si. 

Patching é a resposta se você puder fazer isso”, diz o consultor externo, observando que a empresa avaliou seriamente o risco de aplicar o patch em um momento em que as mitigações eram consideradas eficazes e o patch apresentava o risco de derrubar seu servidores. “Eles avaliaram, consideraram e pesaram [o risco] que conheciam” naquela época, diz o consultor externo. A empresa ainda não aplicou o patch porque os servidores permanecem inativos. 

Um porta-voz da Rackspace não quis comentar se a Rackspace pagou aos invasores do ransomware.