Изглежда Rackspace са избрали грешния път.
През септември миналата година виетнамски разработчици по сигурност алармираха за появата на ограничени атаки към локални (впоследствие се оказа, че атаката работи и срещу Outlook Web Access (OWA) инстанции) Microsoft Exchange инсталации чрез съчетаното експлоатиране на две недокументирани до този момент уязвимости. CVE-2022-41040 се явява SSRF (server-side request forgery) уязвимост. Успешната атака към нея може да предостави на атакуващата страна достъп до всяка една пощенска кутия, като оценката на риска (CVSS) ѝ беше определен на 8.8/10. Втората – CVE-2022-41082 – позволява изпълнението на произволен код по дистанционен път, но заради условия, като достъпа на атакуващата страна до PowerShell конзолата беше с по-нисък риск от експлоатиране – 6.3/10. Сходни с други уязвимости, които Microsoft запуши в Exchange Server и известни, като ProxyShell, експлоатационната верига получи свое име – ProxyNotShell.
Мина известно време обаче преди Microsoft да издадат актуализации за двете уязвимости, като през октомври представиха и инструкции, които се предполагаше, че осуетяват успеха на атаките. Оказа се обаче, че не е така, а през ноември компанията издаде и официални кръпки с редовния си Patch Tuesday.
Междувременно на сцената се появиха и рансъмуер групата, известна като Play. Компанията за сигурност Crowdstrike алармира през декември миналата година за регистрирани от тях атаки на Play, които са добавили към експлоатационната верига трета, вече покрита уязвимост. CVE-2020-41080 улеснява експлоaтирането на ProxyNotShell, тъй като чрез нея може да се достигне отдалеченото изпълнение на PowerShell посредством фронтенд-а на Outlook Web Access (OWA) вместо включването на Autodiscover. От Microsoft заявиха, че актуализации за всички изредени уязвимости са достъпни и предупредиха те да бъдат наложени своевременно, тъй като има вече атаки към тях. Rackspace обаче избрали друго.
В началото на декември миналата година американската компания, предоставяща хостинг услуги обяви, че са станали жертва на хакерска атака. Десетки техни бизнес клиенти бяха засегнати от случая и техните проблеми продължиха със седмици. По-късно стана ясно, че зад атаката стоят именно Play, а от Rackspace са убедени, че в нея е използвана уязвимост „от нулев ден“, т.е. незапушена дупка в софтуер. А може би не е точно така.
„С висока степен на сигурност може да потвърдим, че главната причина в този случай става дума за експлойт от „нулев ден“, свързан със CVE-2022-41080. Microsoft разкри CVE-2022-41080, като уязвимост, свързана с неразрешеното повишение на привилегии и не включиха предупреждение за това, че е част от експлоатационна верига, спомагаща за отдалечено изпълнение на код“, цитират Dark Reading думите на Карен О’Райли-Смит, главен отговорник по сигурността в Rackspace. Изданието припомня, че актуализация за CVE-2022-41080 беше издадена още през ноември.
Външен съветник на компанията обаче твърди за медията, че Rackspace са решили да не налагат временно обновленията за ProxyNotShelld. Те са се решили на тази стъпка заради появата на доклади за грешки при удостоверяването след налагане на кръпките и поради страх, че действието може да изведе от строя сървърите им. Те обаче са изпълнили първоначалните инструкции на Microsoft за преодоляване на риска, свързан с ProxyNotShell. CrowdStrike от своя страна, които са наети от Rackspace за справяне със ситуацията описват подробно как рансъмуер групата зад Play са използвали нова техника за експлоатиране на CVE-2022-41082, използвайки CVE-2022-41080. Блог публикацията на CrowdStrike не назовава конкретно Rackspace, като жертвата в случая, но според източник на Dark Reading става дума именно за тях и проведеното разследване на инцидента. От Microsoft са допълнили за медията, че макар и атаката да преодолява препоръките в издадените от Microsoft инструкции, то тя не успява, ако са наложени нужните актуализации.
„Те са преценили и сметнали риска, с който са били запознати по това време. Компанията все още не е наложила кръпката, откакто сървърите им са извън строя“, източникът на Dark Reading допълва за изданието. Представител на Rackspace е отказал коментар по темата.
