Компания Rackspace Technology, предоставляющая услуги управляемого облачного хостинга, подтвердила, что массированная атака программы-вымогателя 2 декабря, которая нарушила работу почтовых служб для тысяч ее клиентов из малого и среднего бизнеса, была вызвана эксплойтом нулевого дня против уязвимости подделки запроса на стороне сервера (SSRF). в Microsoft Exchange Server, также известном как CVE-2022-41080.
«Теперь мы абсолютно уверены, что основная причина в этом случае связана с эксплойтом нулевого дня, связанным с CVE-2022-41080», — сказала Карен О'Рейли-Смит, директор по безопасности Rackspace, в ответном письме Dark Reading. «Microsoft раскрыла CVE-2022-41080 как уязвимость повышения привилегий и не включила примечания о том, что она является частью цепочки удаленного выполнения кода, которую можно было использовать».
CVE-2022-41080 — это ошибка, которую Microsoft исправлено в ноябре.
Внешний советник Rackspace сообщил Dark Reading, что Rackspace воздерживается от применения патча ProxyNotShell из-за опасений по поводу сообщений о том, что он вызывает «ошибки аутентификации», которые, как опасается компания, могут вывести из строя ее серверы Exchange. Rackspace ранее реализовала рекомендованные Microsoft меры по устранению уязвимостей, которые Microsoft сочла способом предотвратить атаки.
Rackspace наняла CrowdStrike, чтобы помочь в расследовании взлома, и охранная фирма поделилась своими выводами в сообщении в блоге, в котором подробно рассказывается, как группа вымогателей Play с применением новой техники для запуска следующей уязвимости ProxyNotShell RCE, известной как CVE-2022-41082, с использованием CVE-2022-41080. В сообщении CrowdStrike в то время не было названия Rackspace, но внешний консультант компании сообщил Dark Reading, что исследование метода обхода Play было результатом расследования CrowdStrike атаки на поставщика услуг хостинга.
Microsoft сообщила Dark Reading в прошлом месяце, что, хотя атака обходит ранее выпущенные средства защиты ProxyNotShell, она не обходит сам патч.
Исправление — это ответ, если вы можете это сделать», — говорит внешний консультант, отмечая, что компания серьезно взвесила риск применения исправления в то время, когда меры по снижению риска были признаны эффективными, а исправление сопряжено с риском его отключения. серверы. «Они оценили, рассмотрели и взвесили [риск], о котором знали», — говорит внешний консультант. Компания до сих пор не применила патч, так как серверы не работают.
Представитель Rackspace не стал комментировать, заплатила ли Rackspace хакерам-вымогателям.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
