Взлом хостинга Rackspace связан с новой уязвимостью OWASSRF

Rackspace признала, что месяц назад она подверглась атаке вымогательского ПО Play, в результате которой были скомпрометированы учетные записи Microsoft Exchange клиентов. Злоумышленники, очевидно, использовали уязвимость нулевого дня под названием OWASSRF, которая недавно была проанализирована компанией CrowdStrike.

В беседе с изданием San Antonio Express-News главный специалист по продуктам Rackspace Джон Превитт сказал, что компания не внедрила выпущенные Microsoft в ноябре 2022 года исправления для дефектов ProxyNotShell в Exchange.

Тем не менее, директор по безопасности компании Карен О’Рейли-Смит заявила в интервью изданию Express-News, что взлом был вызван не ProxyNotShell, а другим эксплойтом.

Идентифицирован новый эксплойт

В публикации от 20 декабря в блоге исследователи CrowdStrike предупредили о новом эксплолйте, названном ими OWASSRF.

В ходе расследования недавних атак исследователи обнаружили, что дефекты ProxyNotShell не были использованы для получения доступа. «Вместо этого оказалось, что соответствующие запросы были сделаны непосредственно через конечную точку Outlook Web Application (OWA), что указывает на ранее нераскрытый метод эксплуатации Exchange», – написали они.

В сообщении в блоге CrowdStrike подробно описаны различия между ProxyNotShell и OWASSRF. Очень важно, что новая атака, по-видимому, использует недостаток повышения привилегий CVE-2022-41080 с оценкой CVSS 8.8, который также был частью ноябрьского вторника патчей 2022 года от Microsoft.

Основные средства защиты, рекомендованные CrowdStrike, включают следующее:

  • Применить исправления от 8 ноября 2022 года для Exchange, так как средства защиты от перезаписи URL для ProxyNotShell не эффективны против OWASSRF.
  • Если вы не можете применить патч немедленно, отключите OWA, пока патч не будет применен.
  • Следуйте рекомендациям Microsoft по возможности отключить удаленный PowerShell для неадминистративных пользователей.

Переход от Exchange

Вчера компания Rackspace признала, что в результате проведенной экспертизы было установлено, что «угрожающий субъект, известный как PLAY, использовал ранее неизвестный эксплойт безопасности для получения первоначального доступа к почтовой среде Rackspace Hosted Exchange.»

«Этот эксплойт нулевого дня связан с CVE-2022-41080», – добавила компания. «Microsoft раскрыла CVE-2022-41080 как уязвимость повышения привилегий и не включила примечания о том, что она является частью цепочки удаленного выполнения кода, которую можно эксплуатировать.»

Крупнейшие поставщики облачных услуг обычно постоянно обновляют свои системы, чтобы обеспечить их безопасность, поэтому оплошность Rackspace – редкое нарушение в крупной облачной компании.

Rackspace также сообщила, что в ходе расследования было установлено, что злоумышленник или злоумышленники получили доступ к таблице личного хранения (PST) 27 клиентов Hosted Exchange, каждый из которых был уведомлен. «Клиенты, с которыми команда Rackspace не связывалась напрямую, могут быть уверены, что их данные PST не были доступны злоумышленнику», – написала компания.

Rackspace не планирует перестраивать свою почтовую среду Hosted Exchange, поскольку уже запланирован переход на Microsoft 365.

Комментарии (0)