0
0
A Rackspace Technology, empresa de serviços gerenciados de hospedagem em nuvem, confirmou que o ataque massivo de ransomware de 2 de dezembro que interrompeu os serviços de e-mail para milhares de seus clientes empresariais de pequeno a médio porte ocorreu por meio de uma exploração de dia zero contra uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF). no Microsoft Exchange Server, também conhecido como CVE-2022-41080.
“Agora estamos altamente confiantes de que a causa raiz neste caso pertence a uma exploração de dia zero associada ao CVE-2022-41080”, disse Karen O’Reilly-Smith, diretora de segurança da Rackspace, ao Dark Reading em uma resposta por e-mail. “A Microsoft divulgou o CVE-2022-41080 como uma vulnerabilidade de escalonamento de privilégios e não incluiu notas por fazer parte de uma cadeia de execução remota de código que era explorável”.
CVE-2022-41080 é um bug que a Microsoft corrigiu em novembro .
Um consultor externo da Rackspace disse ao Dark Reading que a Rackspace havia adiado a aplicação do patch ProxyNotShell em meio a preocupações sobre relatos de que causava “erros de autenticação” que a empresa temia que pudessem derrubar seus servidores Exchange. A Rackspace já havia implementado as mitigações recomendadas pela Microsoft para as vulnerabilidades, que a Microsoft considerou uma forma de impedir os ataques.
A Rackspace contratou a CrowdStrike para ajudar na investigação de violação, e a empresa de segurança compartilhou suas descobertas em uma postagem no blog detalhando como o grupo Play ransomware estava empregando uma nova técnicapara acionar a falha ProxyNotShell RCE de estágio seguinte conhecida como CVE-2022-41082 usando CVE -2022-41080. A postagem da CrowdStrike não nomeou a Rackspace na época, mas o consultor externo da empresa disse a Dark Reading que a pesquisa sobre o método de bypass de mitigação do Play foi o resultado da investigação da CrowdStrike sobre o ataque ao provedor de serviços de hospedagem.
A Microsoft disse ao Dark Reading no mês passado que, embora o ataque ignore as mitigações do ProxyNotShell emitidas anteriormente, ele não ignora o patch real em si.
O patch é a resposta, se você puder fazê-lo”, diz o consultor externo, observando que a empresa ponderou seriamente o risco de aplicar o patch em um momento em que as mitigações eram consideradas eficazes e o patch corria o risco de derrubar seu “Eles avaliaram, consideraram e pesaram [o risco] que sabiam” na época, diz o consultor externo. A empresa ainda não aplicou o patch, pois os servidores permanecem inativos.
Um porta-voz da Rackspace não quis comentar se a Rackspace pagou os invasores do ransomware.
FONTE: DARK READING