Компанія Rackspace Technology, яка надає послуги керованого хмарного хостингу, підтвердила, що масштабна атака програм-вимагачів 2 грудня, яка порушила роботу електронної пошти для тисяч її клієнтів малого та середнього бізнесу, сталася через експлойт нульового дня проти вразливості підробки запитів на сервері (SSRF). у Microsoft Exchange Server, також CVE-2022-41080.
«Тепер ми глибоко впевнені, що першопричина цього випадку стосується експлойту нульового дня, пов’язаного з CVE-2022-41080», — сказала Карен О’Райлі-Сміт, головний спеціаліст із безпеки Rackspace, у відповіді Dark Reading електронною поштою. «Microsoft оприлюднила CVE-2022-41080 як вразливість для підвищення привілеїв і не включила приміток про те, що вона є частиною ланцюга віддаленого виконання коду, який можна використовувати».
CVE-2022-41080 — це помилка Microsoft виправлено в листопаді.
Зовнішній радник Rackspace повідомив Dark Reading, що Rackspace відклав застосування патча ProxyNotShell через занепокоєння щодо повідомлень про те, що він спричинив «помилки автентифікації», які, як побоювалася компанія, можуть вивести з ладу її сервери Exchange. Раніше Rackspace реалізував рекомендовані корпорацією Майкрософт засоби пом’якшення вразливостей, які Microsoft вважала способом запобігання атакам.
Rackspace найняв CrowdStrike, щоб допомогти з розслідуванням злому, і охоронна фірма поділилася своїми висновками в дописі в блозі, в якому детально описано, як група програм-вимагачів Play використовуючи нову техніку щоб ініціювати помилку наступного етапу ProxyNotShell RCE, відому як CVE-2022-41082, за допомогою CVE-2022-41080. У публікації CrowdStrike тоді не було названо назву Rackspace, але зовнішній радник компанії повідомив Dark Reading, що дослідження методу обходу пом’якшення Play стало результатом розслідування CrowdStrike атаки на постачальника послуг хостингу.
Microsoft повідомила Dark Reading минулого місяця, що хоча атака обходить раніше випущені засоби пом’якшення ProxyNotShell, вона не обходить сам патч.
Виправлення — це відповідь, якщо ви можете це зробити», — каже зовнішній радник, зазначивши, що компанія серйозно зважила ризики застосування виправлення в той час, коли пом’якшення вважалося ефективними, а виправлення ризикувало знищити серверів. «Вони оцінювали, розглядали та зважували [ризик], про який вони знали», у той час, каже зовнішній радник. Компанія досі не застосувала виправлення, оскільки сервери не працюють.
Представник Rackspace не став коментувати, чи платив Rackspace зловмисникам-вимагачам.
