Rackspace raakte via bekend Exchange-lek besmet met ransomware
Hostingbedrijf Rackspace raakte vorige maand via een bekende kwetsbaarheid in Microsoft Exchange, waarvoor het had nagelaten de beschikbare beveiligingsupdate te installeren, met de Play-ransomware besmet. De ransomware-aanval vond op 2 december plaatst en raakte de hosted Exchange-omgeving van Rackspace. Daardoor hadden klanten geen toegang meer tot hun e-mail. Een maand na de aanval is het bedrijf nog steeds bezig met het herstel van klantdata.
Volgens Rackspace maakten de aanvallers gebruik van een bekende kwetsbaarheid in Exchange om op 29 novbember toegang tot de bedrijfsomgeving te krijgen. Een aantal dagen later werd de ransomware uitgerold. Op 8 november kwam Microsoft met beveiligingsupdates voor kwetsbaarheden in Microsoft Exchange. De beveiligingslekken waren eerder al gebruikt bij zeroday-aanvallen, zo waarschuwde Microsoft eind september.
Om organisaties te beschermen in de tijd dat er nog geen updates beschikbaar waren kwam het techbedrijf met tijdelijke mitigatiemaatregelen die uit url-rewrites bestonden. Via deze url-rewrites moest misbruik van de beveiligingslekken worden voorkomen. Het ging hier om een tijdelijke maatregel, waarbij Microsoft op 8 november adviseerde om de beschikbare patches als echte oplossing te installeren.
Rackspace besloot de updates niet te installeren omdat er operationele problemen mee zouden zijn, aldus een woordvoerder. Het vertrouwde daardoor alleen op de url-rewrites. Twee weken geleden liet securitybedrijf CrowdStrike weten, dat ook betrokken is bij het onderzoek naar de aanval op Rackspace, dat aanvallers een manier hadden gevonden om de url-rewrites van Microsoft te omzeilen.
De nieuwe exploitmethode waarover CrowdStrike berichtte maakt gebruik van CVE-2022-41080 en CVE-2022-41082 om via Outlook Web Access kwetsbare Exchange-servers over te nemen. De methode wordt gebruikt door de criminelen achter de Play-ransomware. Een anonieme bron laat tegenover San Antonio Express News weten dat Rackspace dacht dat de door Microsoft geadviseerde mitigatiemaatregel voldoende was.
Het was echter al na het uitkomen van de url-rewrites duidelijk dat die in eerste instantie niet waterdicht waren. Microsoft kwam meerdere keren met aangepaste url-rewrites omdat eerdere versies niet goed werkten. Op 8 november riep Microsoft organisaties op om de Exchange-update meteen te installeren én dat de eerder genoemde url-rewrites niet meer werden aanbevolen.
Dan kom je tenminste niet met dit soort problemen te zitten waar altijd een luchtje van "het komt door laks beheer van Rackspace" aan zal blijven hangen, hoe goed je het ook uitlegt en motiveert.
En dan is de klant boos, en verhuist naar outlook.com
Dan kom je tenminste niet met dit soort problemen te zitten waar altijd een luchtje van "het komt door laks beheer van Rackspace" aan zal blijven hangen, hoe goed je het ook uitlegt en motiveert.
Met virtualisatie moet dit vrij goed te doen zijn. En zo patched microsoft ook hun servers, icm nieuwe deployments.
En dan is de klant boos, en verhuist naar outlook.com
dat kan ook betekenen dat de update in kwestie iets kapot zou maken bij rackspace. Efin, de damned if you do damned if you don't situatie waarbij je je hele hebben en houden in het vertrouwen van de fabrikant blijkt te hebben die ...
"“Microsoft disclosed CVE-2022-41080 as privilege escalation vulnerability, and did not include notes for being part of a Remote Code Execution chain that was exploitable,” O’Reilly-Smith said via email. "
https://www.cybersecuritydive.com/news/rackspace-play-ransomware-exchange/639509/
En dan is de klant boos, en verhuist naar outlook.com
CrowdStrike, in a blog post released Dec. 20, said it had discovered a new exploit method associated with CVE-2022-41080 and CVE-2022-41082 to achieve remote code execution via Outlook Web Access
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
