Compania de servicii de găzduire în cloud gestionată Rackspace Technology a confirmat că atacul masiv ransomware din 2 decembrie care a perturbat serviciile de e-mail pentru mii de clienți de afaceri mici și mijlocii a venit printr-o exploatare zero-day împotriva unei vulnerabilități de falsificare a cererilor pe server (SSRF). în Microsoft Exchange Server, alias CVE-2022 la 41080.
„Acum suntem foarte încrezători că cauza principală în acest caz se referă la o exploatare zero-day asociată cu CVE-2022-41080”, a declarat Karen O'Reilly-Smith, director de securitate pentru Rackspace, pentru Dark Reading într-un răspuns prin e-mail. „Microsoft a dezvăluit CVE-2022-41080 ca o vulnerabilitate de escaladare a privilegiilor și nu a inclus note pentru a fi parte dintr-un lanț de execuție de cod de la distanță care a fost exploatat.”
CVE-2022-41080 este o eroare pe care Microsoft petice în noiembrie.
Un consilier extern al Rackspace a declarat pentru Dark Reading că Rackspace a încetat să aplice patch-ul ProxyNotShell pe fondul îngrijorărilor legate de rapoartele că ar provoca „erori de autentificare” despre care compania se temea că ar putea să-și dezactiveze serverele Exchange. Rackspace a implementat anterior măsurile de atenuare recomandate de Microsoft pentru vulnerabilități, pe care Microsoft le-a considerat o modalitate de a contracara atacurile.
Rackspace a angajat CrowdStrike pentru a ajuta la investigarea încălcării sale, iar firma de securitate și-a împărtășit concluziile într-o postare pe blog care detaliază cum a fost grupul de ransomware Play. folosind o nouă tehnică pentru a declanșa defectul ProxyNotShell RCE din etapa următoare, cunoscut sub numele de CVE-2022-41082 folosind CVE-2022-41080. Postarea lui CrowdStrike nu a denumit Rackspace la acea vreme, dar consilierul extern al companiei îi spune lui Dark Reading că cercetarea despre metoda de ocolire a atenuării Play a fost rezultatul investigației CrowdStrike asupra atacului asupra furnizorului de servicii de găzduire.
Microsoft a declarat luna trecută pentru Dark Reading că, deși atacul ocolește atenuările emise anterior de ProxyNotShell, nu ocolește corecția propriu-zisă.
Patch-ul este răspunsul dacă o poți face”, spune consilierul extern, menționând că compania a cântărit serios riscul aplicării plasturelui într-un moment în care se spunea că atenuările sunt eficiente și că plasturele a venit cu riscul de a-și elimina. servere. „Au evaluat, luat în considerare și cântărit [riscul] despre care știau” la acel moment, spune consilierul extern. Compania încă nu a aplicat patch-ul, deoarece serverele rămân oprite.
Un purtător de cuvânt al Rackspace nu a comentat dacă Rackspace a plătit atacatorii ransomware.
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului