Ngày 06 tháng 1 năm 2023Ravie Lakshmanan Bảo mật đám mây / Đe dọa mạng
Nhà cung cấp dịch vụ đám mây Rackspace hôm thứ Năm đã xác nhận rằng nhóm ransomware có tên Play chịu trách nhiệm về vụ vi phạm vào tháng trước.
Sự cố bảo mật xảy ra vào ngày 2 tháng 12 năm 2022 đã tận dụng một lỗ hổng bảo mật chưa biết trước đó để giành quyền truy cập ban đầu vào môi trường email Rackspace Hosted Exchange.
“Khai thác zero-day này được liên kết với CVE-2022-41080,” công ty có trụ sở tại Texas cho biết. “Microsoft đã tiết lộ CVE-2022-41080 là một lỗ hổng leo thang đặc quyền và không bao gồm các ghi chú là một phần của chuỗi thực thi mã từ xa có thể bị khai thác.”
Cuộc điều tra pháp y của Rackspace phát hiện ra rằng tác nhân đe dọa đã truy cập vào Bảng lưu trữ cá nhân (.PST) của 27 khách hàng trong số gần 30.000 khách hàng trên môi trường email Hosted Exchange.
Tuy nhiên, công ty cho biết không có bằng chứng cho thấy đối thủ đã xem, lạm dụng hoặc phân phối email hoặc dữ liệu của khách hàng từ các thư mục lưu trữ cá nhân đó. Nó cho biết thêm rằng họ dự định ngừng hoạt động nền tảng Hosted Exchange của mình như một phần của kế hoạch di chuyển sang Microsoft 365.
Hiện tại vẫn chưa biết liệu Rackspace có trả tiền chuộc cho tội phạm mạng hay không, nhưng tiết lộ này được đưa ra sau một báo cáo từ CrowdStrike vào tháng trước đã làm sáng tỏ kỹ thuật mới, được đặt tên là OWASSRF, được sử dụng bởi những kẻ tấn công ransomware Play.
Cơ chế nhắm mục tiêu các máy chủ Exchange chưa được vá đối với các lỗ hổng ProxyNotShell (CVE-2022-41040 và CVE-2022-41082) nhưng đã có sẵn các biện pháp giảm thiểu ghi đè URL cho điểm cuối Tự động phát hiện.
Điều này liên quan đến một chuỗi khai thác bao gồm CVE-2022-41080 và CVE-2022-41082 để thực thi mã từ xa theo cách bỏ qua các quy tắc chặn thông qua Outlook Web Access (OWA). Các lỗ hổng đã được Microsoft giải quyết vào tháng 11 năm 2022.
Nhà sản xuất Windows, trong một tuyên bố được chia sẻ với The Hacker News, đã kêu gọi khách hàng ưu tiên cài đặt các bản cập nhật Exchange Server tháng 11 năm 2022 và phương pháp được báo cáo nhắm mục tiêu vào các hệ thống dễ bị tổn thương chưa áp dụng các bản sửa lỗi mới nhất.
