Le fournisseur de services cloud Rackspace a confirmé jeudi que le gang de rançongiciels connu sous le nom de Jouer était responsable de la violation du mois dernier.
L’incident de sécurité, qui a eu lieu le 2 décembre 2022, a tiré parti d’un exploit de sécurité jusque-là inconnu pour obtenir un accès initial à l’environnement de messagerie Rackspace Hosted Exchange.
« Cet exploit zero-day est associé à CVE-2022-41080« , la société texane m’a dit. « Microsoft a divulgué CVE-2022-41080 comme une vulnérabilité d’escalade de privilèges et n’a pas inclus de notes pour faire partie d’une chaîne d’exécution de code à distance qui était exploitable. »
L’enquête médico-légale de Rackspace a révélé que l’auteur de la menace avait accédé à la table de stockage personnelle (.TVP) de 27 clients sur près de 30 000 clients sur l’environnement de messagerie Hosted Exchange.
Cependant, la société a déclaré qu’il n’y avait aucune preuve que l’adversaire ait vu, abusé ou distribué les e-mails ou les données du client à partir de ces dossiers de stockage personnels. Il a en outre déclaré qu’il avait l’intention de retirer sa plate-forme Hosted Exchange dans le cadre d’une migration prévue vers Microsoft 365.
On ne sait pas actuellement si Rackspace a payé une rançon aux cybercriminels, mais la divulgation fait suite à un rapport de CrowdStrike le mois dernier qui a fait la lumière sur la nouvelle technique, baptisée OWASSRF, employée par les acteurs du rançongiciel Play.
Le mécanisme cible les serveurs Exchange non corrigés contre les vulnérabilités ProxyNotShell (CVE-2022-41040 et CVE-2022-41082) mais ont mis en place des atténuations de réécriture d’URL pour le point de terminaison de découverte automatique.
Cela implique une chaîne d’exploitation comprenant CVE-2022-41080 et CVE-2022-41082 pour réaliser l’exécution de code à distance d’une manière qui contourne les règles de blocage via Outlook Web Access (OWA). Les failles ont été corrigées par Microsoft en novembre 2022.
Le fabricant de Windows, dans une déclaration partagée avec The Hacker News, a exhorté les clients à donner la priorité à l’installation de son Mises à jour du serveur Exchange de novembre 2022 et que la méthode signalée cible les systèmes vulnérables qui n’ont pas appliqué les derniers correctifs.