托管云托管服务公司 Rackspace Technology 已确认,2 月 XNUMX 日发生的大规模勒索软件攻击是通过针对服务器端请求伪造 (SSRF) 漏洞的零日攻击来中断其数千家中小型企业客户的电子邮件服务的在 Microsoft Exchange Server 中,又名 CVE-2022 - 41080。
Rackspace 首席安全官 Karen O'Reilly-Smith 在一封电子邮件回复中告诉 Dark Reading:“我们现在非常有信心,本案的根本原因与与 CVE-2022-41080 相关的零日漏洞利用有关。” “Microsoft 将 CVE-2022-41080 披露为一个权限提升漏洞,但没有包含关于作为可利用的远程代码执行链的一部分的说明。”
CVE-2022-41080 是 Microsoft XNUMX 月修补.
Rackspace 的一位外部顾问告诉 Dark Reading,Rackspace 推迟应用 ProxyNotShell 补丁,原因是担心有报道称它会导致“身份验证错误”,该公司担心这会导致其 Exchange 服务器瘫痪。 Rackspace 之前已经实施了微软建议的漏洞缓解措施,微软认为这是一种阻止攻击的方法。
Rackspace 聘请 CrowdStrike 帮助其进行漏洞调查,这家安全公司在一篇博客文章中分享了其调查结果,详细介绍了 Play 勒索软件组织是如何 采用新技术 使用 CVE-2022-41082 触发称为 CVE-2022-41080 的下一阶段 ProxyNotShell RCE 漏洞。 CrowdStrike 的帖子当时没有点名 Rackspace,但该公司的外部顾问告诉 Dark Reading,有关 Play 的缓解绕过方法的研究是 CrowdStrike 对托管服务提供商的攻击进行调查的结果。
微软上个月告诉 Dark Reading,虽然攻击绕过了之前发布的 ProxyNotShell 缓解措施,但它并没有绕过实际的补丁本身。
如果你能做到,打补丁就是答案,”外部顾问说,并指出该公司已经认真权衡了在据说缓解措施有效的时候应用补丁的风险,并且补丁伴随着取消它的风险服务器。 “他们当时评估、考虑并权衡了他们知道的 [风险]”,外部顾问说。 由于服务器仍处于关闭状态,该公司仍未应用补丁。
Rackspace 发言人不愿就 Rackspace 是否向勒索软件攻击者付款发表评论。
