0
0
A cadeia de exploração do MS Exchange recentemente revelada pelos pesquisadores da Crowdstrike é como a gangue Play ransomware violou o ambiente de e-mail do Rackspace Hosted Exchange, confirmou a empresa na semana passada.
A exploração encadeia CVE-2022-41082, uma falha RCE, e CVE-2022-41080, uma vulnerabilidade de escalonamento de privilégios, para obter acesso remoto irrestrito a configurações vulneráveis do MS Exchange.
“Vamos compartilhar informações mais detalhadas com nossos clientes e colegas da comunidade de segurança para que, coletivamente, todos possamos nos defender melhor contra esses tipos de explorações no futuro”, observou a Rackspace em sua atualização final sobre a investigação forense concluída.
A precipitação do ataque
Os clientes que tentavam se conectar ao ambiente Hosted Exchange da Rackspace começaram a ter problemas em 2 de dezembro de 2022 e logo a empresa confirmou que ocorreu uma violação de segurança devido a um ataque de ransomware .
Os clientes – predominantemente pequenas e médias empresas – pararam de receber e enviar e-mails e perderam o acesso aos e-mails arquivados. Para ajudá-los a recuperar a capacidade de e-mail, a Rackspace ofereceu uma licença gratuita do Plano 1 do Microsoft Exchange no Microsoft 365 e aconselhamento e suporte para fazer a troca, enquanto trabalhava na recuperação de dados históricos de e-mail dos clientes.
Mais de um mês depois, “mais da metade dos clientes afetados têm alguns ou todos os seus dados disponíveis para download”, mas menos de 5% deles baixaram essas caixas de correio.
“Isso indica para nós que muitos de nossos clientes têm backup de dados localmente, arquivados ou não precisam dos dados históricos”, observou a Rackspace, mas disse que, no entanto, está trabalhando para recuperar todos os dados possíveis.
Por fim, a investigação forense da Crowdstrike confirmou que os invasores acessaram tabelas de armazenamento pessoal (PSTs) de 27 clientes do Hosted Exchange, mas que “não há evidências de que o agente da ameaça realmente tenha visualizado, obtido, usado indevidamente ou divulgado e-mails ou dados nos PSTs para qualquer dos 27 clientes do Hosted Exchange de alguma forma.”
O que vem a seguir para os clientes?
Embora a empresa esteja pronta para entregar dentro de duas semanas uma solução sob demanda para os clientes que desejam baixar seus dados arquivados, não há como voltar a usar o serviço Rackspace Hosted Exchange.
“O ambiente de e-mail do Hosted Exchange não será reconstruído como uma oferta de serviço avançada”, a Rackspace finalmente confirmou uma mudança que muitos esperavam.
“Mesmo antes do recente incidente de segurança, o ambiente de e-mail do Hosted Exchange já havia sido planejado para migração para o Microsoft 365, que possui um modelo de preços mais flexível, além de recursos e funcionalidades mais modernos. Não haverá aumento de preço para nossos clientes do Hosted Exchange se eles optarem por migrar para o Microsoft 365 e selecionar um plano com os mesmos recursos que possuem atualmente. Cada cliente do Hosted Exchange tem a opção de migrar e pagar exatamente o que está pagando hoje ou até mesmo reduzir um pouco os custos e ter os mesmos recursos.”
Os clientes que não desejam ou não podem migrar para o Microsoft 365 – mas ainda acreditam nos recursos de segurança da empresa – foram encaminhados para o serviço Rackspace Email.
Nesse ínterim, várias ações coletivas foram movidas contra a Rackspace nos Estados Unidos devido a esse incidente.
Play ransomware gangue aumenta seu arsenal
A Rackspace não revelou se pagou o resgate para descriptografar os dados criptografados, nem compartilhou qual era o valor solicitado.
O grupo de ransomware Play também atingiu recentemente a cidade de Antuérpia (Bélgica) e a rede hoteleira alemã H-Hotels .
Os pesquisadores da Trend Micro documentaram o manual de ataque do ransomware Play em setembro de 2022, mas obviamente os recursos de acesso inicial do grupo de ransomware foram aprimorados com o uso dessa nova cadeia de exploração do Exchange – e a Rackspace sofreu como consequência.
“A Microsoft divulgou o CVE-2022-41080 como uma vulnerabilidade de escalonamento de privilégios e não incluiu notas por fazer parte de uma cadeia de execução remota de código que era explorável”, observou a Rackspace. E, infelizmente, muitas organizações estão ficando consideravelmente atrasadas quando se trata de correção de vulnerabilidades.
FONTE: HELPNET SECURITY