El proveedor de servicios en la nube Rackspace confirmó el jueves que la banda de ransomware conocida como Tocar fue responsable del incumplimiento del mes pasado.
El incidente de seguridad, que tuvo lugar el 2 de diciembre de 2022, aprovechó un exploit de seguridad previamente desconocido para obtener acceso inicial al entorno de correo electrónico de Rackspace Hosted Exchange.
«Este exploit de día cero está asociado con CVE-2022-41080la empresa con sede en Texas dicho. «Microsoft reveló CVE-2022-41080 como una vulnerabilidad de escalada de privilegios y no incluyó notas por ser parte de una cadena de ejecución remota de código que era explotable».
La investigación forense de Rackspace encontró que el actor de amenazas accedió a la tabla de almacenamiento personal (.PST) de 27 clientes de casi 30 000 clientes en el entorno de correo electrónico de Hosted Exchange.
Sin embargo, la compañía dijo que no hay evidencia de que el adversario haya visto, usado indebidamente o distribuido los correos electrónicos o datos del cliente de esas carpetas de almacenamiento personal. Dijo además que tiene la intención de retirar su plataforma Hosted Exchange como parte de una migración planificada a Microsoft 365.
Actualmente no se sabe si Rackspace pagó un rescate a los ciberdelincuentes, pero la divulgación sigue a un informe de CrowdStrike el mes pasado que arrojó luz sobre la nueva técnica, denominada OWASSRF, empleada por los actores del ransomware Play.
El mecanismo tiene como objetivo los servidores de Exchange que no tienen parches contra las vulnerabilidades de ProxyNotShell (CVE-2022-41040 y CVE-2022-41082) pero tienen implementadas mitigaciones de reescritura de URL para el extremo de detección automática.
Esto implica una cadena de explotación que comprende CVE-2022-41080 y CVE-2022-41082 para lograr la ejecución remota de código de una manera que elude las reglas de bloqueo a través de Outlook Web Access (OWA). Microsoft solucionó las fallas en noviembre de 2022.
El fabricante de Windows, en un comunicado compartido con The Hacker News, instó a los clientes a priorizar la instalación de su Actualizaciones de Exchange Server de noviembre de 2022 y que el método informado apunta a sistemas vulnerables que no han aplicado las últimas correcciones.