Fidye Yazılımı Saldırısı Atlanan ProxyNotShell Hafifletmeleri

   Ocak 4, 2023  Posted in DarkReading



Yönetilen bulut barındırma hizmetleri şirketi Rackspace Technology, 2 Aralık’ta binlerce küçük ve orta ölçekli işletme müşterisinin e-posta hizmetlerini kesintiye uğratan büyük çaplı fidye yazılımı saldırısının, sunucu tarafı istek sahteciliği (SSRF) güvenlik açığına yönelik sıfırıncı gün açıklarından yararlanma yoluyla geldiğini doğruladı. Microsoft Exchange Server’da, diğer adıyla CVE-2022-41080.

Rackspace’in baş güvenlik sorumlusu Karen O’Reilly-Smith, Dark Reading’e bir e-posta yanıtında, “Artık bu davadaki temel nedenin CVE-2022-41080 ile ilişkili sıfır günlük bir açıktan yararlanma ile ilgili olduğundan son derece eminiz.” “Microsoft, CVE-2022-41080’i bir ayrıcalık yükseltme güvenlik açığı olarak açıkladı ve yararlanılabilen bir uzaktan kod yürütme zincirinin parçası olduğuna dair notlar eklemedi.”

CVE-2022-41080, Microsoft’un Kasım ayında yama yaptığı bir hatadır. Rackspace’in harici bir danışmanı, Dark Reading’e, Rackspace’in, şirketin Exchange Sunucularını kapatabileceğinden korktuğu yamayla ilgili “kimlik doğrulama hataları” raporlarına ilişkin endişeler nedeniyle yamayı uygulamayı ertelediğini söyledi. Rackspace daha önce, Microsoft’un saldırıları engellemenin bir yolu olarak gördüğü sözde ProxyNotShell için Microsoft’un önerdiği azaltmaları uygulamıştı.

Rackspace, ihlal soruşturmasına yardımcı olması için CrowdStrike’ı işe aldı ve güvenlik firması, Play fidye yazılımı grubunun CVE-2022-41082 olarak bilinen bir sonraki aşama ProxyNotShell RCE kusurunu tetiklemek için yeni bir tekniği nasıl kullandığını ayrıntılarıyla anlatan bir blog gönderisinde bulgularını paylaştı. CrowdStrike’ın gönderisinde Rackspace’in adı verilmedi, ancak Rackspace’in harici danışmanı Dark Reading’e Play’in hafifletme baypas yöntemi hakkındaki araştırmanın CrowdStrike’ın barındırma hizmetleri sağlayıcısına yapılan saldırıyla ilgili araştırmasının sonucu olduğunu söyledi.

Microsoft geçen ay Dark Reading’e, saldırının daha önce yayınlanan ProxyNotShell azaltmalarını atlasa da asıl yamanın kendisini atlamadığını söyledi. Rackspace, sunucuları kapalı kaldığı için yamayı henüz uygulamadı.

Yapabilirseniz çözüm yamadır” diyor danışman, şirketin düzeltmelerin etkili olduğu söylendiği ve yamanın sunucularını kapatma riskiyle geldiği bir zamanda yamayı uygulama riskini ciddi şekilde değerlendirdiğini belirtiyor. Değerlendirdiler, düşündüler ve tarttılar [the risk] Danışman, “o zaman” hakkında bilgi sahibi olduklarını söylüyor.

Bir Rackspace sözcüsü, Rackspace’in fidye yazılımı saldırganlarına ödeme yapıp yapmadığı konusunda yorum yapmadı.

En son siber güvenlik tehditlerini, yeni keşfedilen güvenlik açıklarını, veri ihlali bilgilerini ve ortaya çıkan trendleri takip edin. Günlük veya haftalık olarak e-posta gelen kutunuza teslim edilir.

Abone



Source link