Perşembe günü bulut hizmetleri sağlayıcısı Rackspace, olarak bilinen fidye yazılımı çetesinin Oyna geçen ayki ihlalden sorumluydu.
2 Aralık 2022’de gerçekleşen güvenlik olayı, Rackspace Barındırılan Exchange e-posta ortamına ilk erişimi elde etmek için önceden bilinmeyen bir güvenlik açığından yararlandı.
“Bu sıfır gün istismarı, CVE-2022-41080,” Teksas merkezli şirket dedim. “Microsoft, CVE-2022-41080’i bir ayrıcalık yükseltme güvenlik açığı olarak açıkladı ve yararlanılabilen bir uzaktan kod yürütme zincirinin parçası olduğuna dair notlar eklemedi.”
Rackspace’in adli soruşturması, tehdit aktörünün Kişisel Depolama Tablosuna (.PASİFİK ZAMAN DİLİMİ) Barındırılan Exchange e-posta ortamındaki yaklaşık 30.000 müşteriden 27’si.
Ancak şirket, saldırganın müşterinin e-postalarını veya bu kişisel depolama klasörlerindeki verilerini görüntülediğine, kötüye kullandığına veya dağıttığına dair hiçbir kanıt olmadığını söyledi. Ayrıca, Microsoft 365’e planlı geçişin bir parçası olarak Barındırılan Exchange platformunu kullanımdan kaldırmayı planladığını da belirtti.
Şu anda Rackspace’in siber suçlulara fidye ödeyip ödemediği bilinmiyor, ancak geçen ay CrowdStrike tarafından yayınlanan ve Play fidye yazılımı aktörleri tarafından kullanılan OWASSRF adlı yeni tekniğe ışık tutan bir raporun ardından açıklama geldi.
Mekanizma, ProxyNotShell güvenlik açıklarına (CVE-2022-41040 ve CVE-2022-41082) ancak Otomatik Keşfet uç noktası için yerinde URL yeniden yazma azaltıcı önlemleri vardır.
Bu, Outlook Web Access (OWA) aracılığıyla engelleme kurallarını atlayacak şekilde uzaktan kod yürütülmesini sağlamak için CVE-2022-41080 ve CVE-2022-41082’den oluşan bir yararlanma zincirini içerir. Kusurlar, Kasım 2022’de Microsoft tarafından giderildi.
The Hacker News ile paylaşılan bir bildiride Windows üreticisi, müşterilerini Windows işletim sistemini kurmaya öncelik vermeye çağırdı. Kasım 2022 Exchange Server güncellemeleri ve bildirilen yöntemin en son düzeltmeleri uygulamamış güvenlik açığı bulunan sistemleri hedef aldığı.