Företag som hanterar molnvärdtjänster Rackspace Technology har bekräftat att den massiva ransomware-attacken den 2 december som störde e-posttjänster för tusentals av dess små till medelstora företagskunder kom via en noll-dagars exploatering mot en sårbarhet för förfalskning av förfrågningar på serversidan (SSRF). i Microsoft Exchange Server, aka CVE-2022 till 41080.
"Vi är nu mycket övertygade om att grundorsaken i det här fallet hänför sig till en zero-day exploit associerad med CVE-2022-41080," sa Karen O'Reilly-Smith, säkerhetschef för Rackspace, till Dark Reading i ett e-postsvar. "Microsoft avslöjade CVE-2022-41080 som en sårbarhet för eskalering av privilegier och inkluderade inte anteckningar om att vara en del av en fjärrexekveringskedja som gick att exploatera."
CVE-2022-41080 är en bugg som Microsoft lappade i november.
En extern rådgivare till Rackspace berättade för Dark Reading att Rackspace hade väntat med att applicera ProxyNotShell-patchen på grund av oro över rapporter om att det orsakade "autentiseringsfel" som företaget befarade skulle kunna ta ner sina Exchange-servrar. Rackspace hade tidigare implementerat Microsofts rekommenderade begränsningar för sårbarheterna, som Microsoft hade ansett som ett sätt att motverka attackerna.
Rackspace anlitade CrowdStrike för att hjälpa till med sin intrångsutredning, och säkerhetsföretaget delade sina resultat i ett blogginlägg som beskriver hur Play ransomware-gruppen var använda en ny teknik för att utlösa nästa steg ProxyNotShell RCE-fel, känd som CVE-2022-41082 med CVE-2022-41080. CrowdStrikes inlägg namngav inte Rackspace vid den tidpunkten, men företagets externa rådgivare säger till Dark Reading att forskningen om Plays metod för lindrande bypass var resultatet av CrowdStrikes undersökning av attacken mot leverantören av värdtjänster.
Microsoft berättade för Dark Reading förra månaden att även om attacken kringgår tidigare utfärdade ProxyNotShell-åtgärder, kringgår den inte själva patchen.
Plåster är svaret om du kan göra det”, säger den externa rådgivaren och noterar att företaget på allvar hade övervägt risken med att applicera plåstret vid en tidpunkt då åtgärderna sades vara effektiva och plåstret medförde risk att ta ner det. servrar. "De utvärderade, övervägde och vägde [risken] de visste om" vid den tiden, säger den externa rådgivaren. Företaget har fortfarande inte tillämpat patchen eftersom servrarna fortfarande är nere.
En talesperson för Rackspace vill inte kommentera om Rackspace hade betalat ransomware-angriparna.
