Rackspace признала, что месяц назад она подверглась атаке вымогателя Play, которая скомпрометировала учетные записи клиентов Microsoft Exchange. Злоумышленники, по-видимому, использовали уязвимость нулевого дня под названием OWASSRF, которую недавно проанализировала CrowdStrike.
В интервью San Antonio Express-News директор по продуктам Rackspace Джон Превитт сказал, что компания не внедрила исправления Microsoft от ноября 2022 года для недостатков ProxyNotShell в Exchange из-за сообщений о проблемах с ними.
Тем не менее, директор службы безопасности компании Карен О’Рейли-Смит сообщила Express-News, что нарушение произошло из-за другого эксплойта, отличного от ProxyNotShell.
Выявлен новый эксплойт
В сообщении блога от 20 декабря исследователи CrowdStrike предупредили о новом методе эксплойта, который они называют OWASSRF, который, по-видимому, был использован в этом случае.
При расследовании некоторых недавних атак программ-вымогателей Play исследователи обнаружили, что уязвимости ProxyNotShell не использовались для доступа. «Вместо этого оказалось, что соответствующие запросы были сделаны непосредственно через конечную точку веб-приложения Outlook (OWA), что указывает на ранее неизвестный метод эксплойта для Exchange», — написали они.
В сообщении блога CrowdStrike подробно описаны различия между ProxyNotShell и OWASSRF. Критически важно, что новая атака, по-видимому, использует уязвимость повышения привилегий, CVE-2022-41080, с оценкой CVSS 8,8, которая также была частью вторника исправлений Microsoft от ноября 2022 года.
Ключевые меры по смягчению последствий, рекомендованные CrowdStrike, включают следующее:
Примените исправления для Exchange от 8 ноября 2022 г., так как средства защиты от перезаписи URL -адресов для ProxyNotShell неэффективны против OWASSRF.
Если вы не можете применить исправление немедленно, отключите OWA до тех пор, пока не будет установлено исправление.
Следуйте рекомендациям Microsoft, чтобы отключить удаленную оболочку PowerShell для пользователей без прав администратора, где это возможно.
Читайте также: Является ли ответ на управление исправлениями уязвимостей услугой?
Переход от биржи
Во вчерашнем заявлении Rackspace признал, что его судебное расследование показало, что «субъект угрозы, известный как PLAY, использовал ранее неизвестный эксплойт безопасности, чтобы получить первоначальный доступ к среде электронной почты Rackspace Hosted Exchange».
«Этот эксплойт нулевого дня связан с CVE-2022-41080», — добавили в компании. «Microsoft раскрыла CVE-2022-41080 как уязвимость повышения привилегий и не включила примечания о том, что она является частью цепочки удаленного выполнения кода, которую можно было использовать».
Крупнейшие поставщики облачных услуг, как правило, постоянно вносят исправления, чтобы обеспечить безопасность своих систем, поэтому недосмотр Rackspace — редкое нарушение со стороны крупной облачной компании.
Rackspace также сообщила, что ее расследование показало, что злоумышленник или злоумышленники получили доступ к персональной таблице хранения (PST) 27 клиентов Hosted Exchange, каждый из которых был уведомлен. «Клиенты, с которыми команда Rackspace не связалась напрямую, могут быть уверены, что злоумышленник не получил доступа к их данным PST», — написала компания.
Rackspace не планирует перестраивать свою среду электронной почты Hosted Exchange в будущем, поскольку миграция на Microsoft 365 уже запланирована.
