Der Cloud-Dienstleister Rackspace hat am Donnerstag bestätigt, dass die Ransomware-Bande namens Play für den Einbruch im letzten Monat verantwortlich war.
Bei dem Sicherheitsvorfall am 2. Dezember 2022 wurde eine bisher unbekannte Sicherheitslücke ausgenutzt, um sich Zugang zur Rackspace Hosted Exchange E-Mail-Umgebung zu verschaffen.
„Dieser Zero-Day-Exploit steht im Zusammenhang mit CVE-2022-41080„, so das in Texas ansässige Unternehmen. „Microsoft hat CVE-2022-41080 als Schwachstelle zur Privilegienerweiterung bekannt gegeben und nicht erwähnt, dass sie Teil einer Kette zur Ausführung von Remotecode ist, die ausgenutzt werden kann.
Die forensische Untersuchung von Rackspace ergab, dass der Angreifer auf die persönliche Speichertabelle (.PST) von 27 der insgesamt fast 30.000 Kunden in der Hosted Exchange E-Mail-Umgebung zugriff.
Das Unternehmen erklärte jedoch, dass es keine Beweise dafür gibt, dass der Angreifer die E-Mails oder Daten der Kunden aus diesen persönlichen Speicherordnern eingesehen, missbraucht oder verbreitet hat. Das Unternehmen erklärte außerdem, dass es beabsichtigt, seine Hosted Exchange-Plattform im Rahmen einer geplanten Migration zu Microsoft 365 außer Betrieb zu nehmen.
Es ist derzeit nicht bekannt, ob Rackspace ein Lösegeld an die Cyberkriminellen gezahlt hat, aber die Enthüllung folgt einem Bericht von CrowdStrike vom letzten Monat, der Licht auf die neue Technik namens OWASSRF wirft, die von den Play-Ransomware-Akteuren eingesetzt wird.
Der Mechanismus zielt auf Exchange-Server ab, die nicht gegen die ProxyNotShell-Schwachstellen(CVE-2022-41040 und CVE-2022-41082) gepatcht sind, aber über URL-Rewrite-Maßnahmen für den Autodiscover-Endpunkt verfügen.
Dabei handelt es sich um eine Exploit-Kette, die CVE-2022-41080 und CVE-2022-41082 umfasst, um Remotecode-Ausführung auf eine Weise zu erreichen, die die Blockierungsregeln über Outlook Web Access (OWA) umgeht. Die Schwachstellen wurden von Microsoft im November 2022 behoben.
In einer Erklärung, die The Hacker News vorliegt, forderte der Windows-Hersteller seine Kunden auf, die Exchange Server-Updates vom November 2022 vorrangig zu installieren, und wies darauf hin, dass die gemeldete Methode auf anfällige Systeme abzielt, die die neuesten Korrekturen nicht angewendet haben.