Crowdstrike araştırmacıları tarafından yakın zamanda ortaya çıkarılan MS Exchange istismar zinciri, Play fidye yazılımı çetesinin Rackspace Barındırılan Exchange e-posta ortamını nasıl ihlal ettiğini, şirketin geçen hafta doğruladığını doğruladı.
Açıklardan yararlanma, savunmasız MS Exchange kurulumlarına sınırsız uzaktan erişim elde etmek için bir RCE kusuru olan CVE-2022-41082 ve bir ayrıcalık yükseltme güvenlik açığı olan CVE-2022-41080 zincirlerini birleştirir.
Rackspace, tamamlanan adli tıp soruşturmasıyla ilgili son güncellemesinde, “Gelecekte bu tür açıklardan yararlanmaya karşı hep birlikte daha iyi savunma yapabilmek için müşterilerimiz ve güvenlik topluluğundaki meslektaşlarımızla daha ayrıntılı bilgiler paylaşacağız” dedi.
Saldırı serpintisi
Rackspace’in Barındırılan Exchange ortamına bağlanmaya çalışan müşteriler, 2 Aralık 2022’de sorun yaşamaya başladı ve çok geçmeden şirket, bir fidye yazılımı saldırısı nedeniyle bir güvenlik ihlalinin gerçekleştiğini doğruladı.
Ağırlıklı olarak küçük ve orta ölçekli işletmelerden oluşan müşteriler, e-posta almayı ve göndermeyi durdurdu ve arşivlenmiş e-postalara erişimlerini kaybetti. E-posta yeteneklerini yeniden kazanmalarına yardımcı olmak için Rackspace, müşterilerin geçmiş e-posta verilerini kurtarmaya çalışırken Microsoft 365’te ücretsiz bir Microsoft Exchange Plan 1 lisansı ve geçiş yapmak için tavsiye ve destek sundu.
Bir aydan fazla bir süre sonra, “etkilenen müşterilerin yarısından fazlasının verilerinin bir kısmı veya tamamı indirilebilir durumda”, ancak %5’ten azı bu posta kutularını indirdi.
Rackspace, “Bu bize, müşterilerimizin birçoğunun verilerinin yerel olarak yedeklendiğini, arşivlendiğini veya başka bir şekilde geçmiş verilere ihtiyaç duymadığını gösteriyor” dedi, ancak yine de mümkün olan tüm verileri kurtarmak için çalıştıklarını söyledi.
Son olarak, Crowdstrike’ın adli soruşturması, saldırganların 27 Barındırılan Exchange müşterisinin Kişisel Depolama Tablolarına (PST’ler) eriştiğini doğruladı, ancak “tehdit aktörünün PST’lerdeki e-postaları veya verileri herhangi biri için fiilen görüntülediğine, elde ettiğine, kötüye kullandığına veya yaydığına dair hiçbir kanıt bulunmadığını” doğruladı. 27 Hosted Exchange müşterisinin herhangi bir şekilde.
Müşteriler için sırada ne var?
Şirket, arşivlenmiş verilerini indirmek isteyen müşteriler için iki hafta içinde isteğe bağlı bir çözüm sunacak olsa da, Rackspace Hosted Exchange hizmetini kullanmaya geri dönülemez.
Rackspace, “Barındırılan Exchange e-posta ortamı, ileriye dönük bir hizmet teklifi olarak yeniden oluşturulmayacak,” dedi ve sonunda pek çok kişinin beklediği bir hareketi onayladı.
“Son güvenlik olayından önce bile Barındırılan Exchange e-posta ortamı, daha esnek bir fiyatlandırma modelinin yanı sıra daha modern özelliklere ve işlevselliğe sahip olan Microsoft 365’e geçiş için zaten planlanmıştı. Barındırılan Exchange müşterilerimiz Microsoft 365’e geçmeyi ve şu anda sahip oldukları yeteneklerle aynı özelliklere sahip bir plan seçmeyi tercih ederse fiyat artışı olmayacak. Her Barındırılan Exchange müşterisi, geçiş yapma ve tam olarak bugün ödediklerini ödeme veya hatta biraz daha düşük maliyetlerle aynı yeteneklere sahip olma seçeneğine sahip.”
Microsoft 365’e geçmek istemeyen veya geçemeyen – ancak yine de şirketin güvenlik özelliklerine güvenen – müşteriler Rackspace E-posta hizmetine yönlendirildi.
Bu arada, bu olay nedeniyle ABD genelinde Rackspace aleyhine birkaç toplu dava açıldı.
Play fidye yazılımı çetesi cephaneliğini büyütüyor
Rackspace, şifrelenmiş verilerin şifresinin çözülmesi için fidye ödeyip ödemediklerini veya istenen miktarı paylaşmadıklarını açıklamadı.
Play fidye yazılımı grubu, yakın zamanda Antwerp (Belçika) şehrini ve Alman otel zinciri H-Hotels’i de vurdu.
Trend Micro araştırmacıları, Eylül 2022’de Play fidye yazılımının saldırı başucu kitabını belgelediler, ancak açıkça görülüyor ki, fidye yazılımı grubunun ilk erişim yetenekleri, bu yeni Exchange istismar zincirinin kullanılmasıyla iyileştirildi ve bunun sonucunda Rackspace zarar gördü.
Rackspace, “Microsoft, CVE-2022-41080’i bir ayrıcalık yükseltme güvenlik açığı olarak açıkladı ve kötüye kullanılabilen bir Uzaktan Kod Yürütme zincirinin parçası olduğuna dair notlar eklemedi” dedi. Ve ne yazık ki, iş güvenlik açığı iyileştirmeye geldiğinde çok fazla kuruluş önemli ölçüde geride kalıyor.