Perşembe günü bulut hizmetleri sağlayıcısı Rackspace, olarak bilinen fidye yazılımı çetesinin olduğunu doğruladı. Oyna geçen ayki ihlalden sorumluydu.
2 Aralık 2022’de gerçekleşen güvenlik olayı, Rackspace Barındırılan Exchange e-posta ortamına ilk erişimi elde etmek için önceden bilinmeyen bir güvenlik açığından yararlandı.
Teksas merkezli şirket, “Bu sıfır günlük istismar, CVE-2022-41080 ile ilişkilidir” dedi. “Microsoft, CVE-2022-41080’i bir ayrıcalık yükseltme güvenlik açığı olarak açıkladı ve yararlanılabilen bir uzaktan kod yürütme zincirinin parçası olduğuna dair notlar eklemedi.”
Rackspace’in adli soruşturması, tehdit aktörünün Barındırılan Exchange e-posta ortamındaki yaklaşık 30.000 müşteriden 27’sinin Kişisel Depolama Tablosuna (.PST) eriştiğini ortaya çıkardı.
Ancak şirket, saldırganın müşterinin e-postalarını veya bu kişisel depolama klasörlerindeki verilerini görüntülediğine, kötüye kullandığına veya dağıttığına dair hiçbir kanıt olmadığını söyledi. Ayrıca, Barındırılan Exchange platformunu Microsoft 365’e planlı geçişin bir parçası olarak kullanımdan kaldırmayı planladığını da belirtti.
Şu anda Rackspace’in siber suçlulara fidye ödeyip ödemediği bilinmiyor ancak bu açıklama, CrowdStrike’ın geçen ay Play fidye yazılımı aktörleri tarafından kullanılan OWASSRF adlı yeni tekniğe ışık tutan bir raporunu takip ediyor.
Mekanizma, ProxyNotShell güvenlik açıklarına (CVE-2022-41040 ve CVE-2022-41082) karşı düzeltme eki uygulanmamış ancak Otomatik Keşfet uç noktası için yerinde URL yeniden yazma azaltıcı önlemleri olan Exchange sunucularını hedefler.
Bu, Outlook Web Access (OWA) aracılığıyla engelleme kurallarını atlayacak şekilde uzaktan kod yürütülmesini sağlamak için CVE-2022-41080 ve CVE-2022-41082’den oluşan bir yararlanma zincirini içerir. Kusurlar, Kasım 2022’de Microsoft tarafından giderildi.
The Hacker News ile paylaşılan bir açıklamada Windows üreticisi, müşterilerin Kasım 2022 Exchange Server güncellemelerini yüklemeye öncelik vermelerini ve bildirilen yöntemin en son düzeltmeleri uygulamamış savunmasız sistemleri hedef aldığını söyledi.