Rackspace: Microsoft maakt zich indirect schuldig aan een ransomware-aanval

Rackspace: Microsoft maakt zich indirect schuldig aan een ransomware-aanval

Migreren naar Microsoft 365

Klanten worden geïnformeerd dat ze op een bepaald moment een melding kunnen ontvangen dat hun mailboxen beschikbaar zijn om te downloaden. Dit proces zal “enkele weken” duren, zegt de gecompromitteerde hostingprovider. Zodra de PST-bestanden van de mailboxen kunnen worden gedownload, kunnen klanten deze importeren Nieuw aangemaakte accounts bij Microsoft.

Rackspace verwijst Exchange-klanten door naar de 365-service van dezelfde softwaremaker. Er zijn al berichten opgedoken dat het hostingbedrijf volledig wil stoppen met het aanbieden van Hosted Exchange. Deze activiteit is relatief klein voor Rackspace: het heeft te maken met de impact van ransomware in december Eerder aankondigen Ze maken 1% uit van de totale omzet van het bedrijf.

Sinds september

Microsoft Exchange-installaties zijn al geïnstalleerd Sinds september vorig jaar Aangevallen door aanvallen op zero-day kwetsbaarheden. Daarnaast kunnen kwaadwillenden zich toegang verschaffen tot deze mail- en agendaservers, inclusief de inhoud van daarop geplaatste mailboxen. Bekende ProxyShell-kwetsbaarheden maken externe uitvoering van eigen code op Exchange-servers mogelijk, waaronder ransomware.

De nieuwere ProxyNotShell-kwetsbaarheden maken gebruik van een vergelijkbare reeks kwetsbaarheden in Exchange. Dit omvat een reeks van twee zwakke punten: CVE-2022-41040 en dan CVE-2022-41082. De beperkende maatregelen van Microsoft hebben dat eerste gat gedicht, maar ze lijken er omheen te werken. Nog een misbruik van een beveiligingsprobleem (CVE-2022-41080) en stond toen nog steeds de tweede exploit toe (CVE-2022-41082).

Nieuwe exploitatiemethode

Deze nieuwe groep wordt op een nieuwe manier gebruikt: via Outlook Web Access (OWA) for Exchange. Dit betekent dat uw code nog steeds kan worden uitgevoerd op kwetsbare servers. Beveiligingsbedrijf CrowdStrike heeft het over een nieuwe exploit, die het OWASSRF noemt Uitgelicht in een blogpost Net voor kerst. OWASSRF is gedetecteerd in verschillende CrowdStrike-onderzoeken naar ransomware-aanvallen op Exchange.

READ  De politieke poster van de kunstenaar veroorzaakte een sensatie

Rackspace heeft de Exchange-patch die Microsoft in november uitbracht niet geïnstalleerd. Dit lijkt een update te zijn van de mail- en agendaserversoftware Ongewenste bijwerkingen Zoals authenticatiefouten en toegang tot OWA voorkomen. in een Ik stuurde Antwoord aan de pers Karen O’Reilly-Smith van Rackspace CSO verklaarde dat het bedrijf ervan overtuigd is dat CVE-2022-41080 de hoofdoorzaak is van de gijzeling in Exchange. Daarmee maakt het een beschuldigend punt richting Microsoft.

Wijs naar Microsoft

Microsoft heeft CVE-2022-41080 bekendgemaakt als een beveiligingslek met betrekking tot privilege-escalatie. [het verkrijgen van hogere rechten, zoals van beheerders – red.] Het bevatte geen opmerkingen dat het onderdeel zou kunnen zijn van een externe code-uitvoeringsketen die zou kunnen worden misbruikt”, zei het hoofd beveiliging van Rackspace. Gezien de bijwerkingen van de patch van november en het vertrouwen op de beperkende maatregelen van Microsoft, was het hostingbedrijf nog steeds kwetsbaar. , zoals de aanvallers hebben aangetoond.

Een reactie achterlaten

Je e-mailadres zal niet getoond worden. Vereiste velden zijn gemarkeerd met *