Beheerd cloudhostingservicebedrijf Rackspace Technology heeft bevestigd dat de massale ransomware-aanval van 2 december die de e-mailservices van duizenden van zijn kleine tot middelgrote zakelijke klanten verstoorde, via een zero-day-exploit tegen een server-side request forgery (SSRF)-kwetsbaarheid kwam in Microsoft Exchange Server, oftewel CVE-2022-41080.

"We hebben er nu alle vertrouwen in dat de oorzaak in dit geval te maken heeft met een zero-day-exploit in verband met CVE-2022-41080", vertelde Karen O'Reilly-Smith, chief security officer voor Rackspace, in een e-mail aan Dark Reading. "Microsoft heeft CVE-2022-41080 onthuld als een beveiligingslek met betrekking tot privilege-escalatie en heeft geen opmerkingen toegevoegd over het feit dat het deel uitmaakte van een externe code-uitvoeringsketen die kon worden misbruikt."

CVE-2022-41080 is een bug die Microsoft in november gerepareerd. 

Een externe adviseur van Rackspace vertelde Dark Reading dat Rackspace had gewacht met het toepassen van de ProxyNotShell-patch vanwege zorgen over rapporten dat het "authenticatiefouten" veroorzaakte waarvan het bedrijf vreesde dat het zijn Exchange Servers zou kunnen uitschakelen. Rackspace had eerder de door Microsoft aanbevolen oplossingen voor de kwetsbaarheden geïmplementeerd, die Microsoft als een manier beschouwde om de aanvallen te dwarsbomen.

Rackspace huurde CrowdStrike in om te helpen bij het onderzoek naar inbreuken, en het beveiligingsbedrijf deelde zijn bevindingen in een blogpost waarin werd beschreven hoe de Play-ransomwaregroep was een nieuwe techniek toepassen om de volgende fase ProxyNotShell RCE-fout, bekend als CVE-2022-41082, te activeren met behulp van CVE-2022-41080. De post van CrowdStrike noemde Rackspace destijds niet, maar de externe adviseur van het bedrijf vertelt aan Dark Reading dat het onderzoek naar de bypass-methode van Play het resultaat was van CrowdStrike's onderzoek naar de aanval op de hostingserviceprovider.

Microsoft vertelde Dark Reading vorige maand dat hoewel de aanval eerder uitgegeven ProxyNotShell-mitigaties omzeilt, het de daadwerkelijke patch zelf niet omzeilt. 

Patchen is het antwoord als je het kunt', zegt de externe adviseur, erop wijzend dat het bedrijf het risico van het toepassen van de patch serieus had afgewogen op een moment dat de maatregelen effectief waren en de patch het risico met zich meebracht om de patch te verwijderen. servers. "Ze evalueerden, overwogen en wogen [het risico] waarvan ze op de hoogte waren", zegt de externe adviseur destijds. Het bedrijf heeft de patch nog steeds niet toegepast omdat de servers niet beschikbaar zijn. 

Een woordvoerder van Rackspace wil niet zeggen of Rackspace de ransomware-aanvallers heeft betaald.