Le fournisseur de services cloud Rackspace a confirmé jeudi que le gang de rançongiciels connu sous le nom de Play était responsable de la violation du mois dernier. L’incident de sécurité, qui a eu lieu le 2 décembre 2022, a tiré parti d’un exploit de sécurité jusque-là inconnu pour obtenir un accès initial à l’environnement de messagerie Rackspace Hosted Exchange. « Cet exploit zero-day est associé à CVE-2022-41080 », a déclaré la société basée au Texas. « Microsoft a divulgué CVE-2022-41080 comme une vulnérabilité d’escalade de privilèges et n’a pas inclus de notes pour faire partie d’une chaîne d’exécution de code à distance qui était exploitable. » L’enquête médico-légale de Rackspace a révélé que l’auteur de la menace avait accédé à la table de stockage personnelle (.PST) de 27 clients sur un total de près de 30 000 clients sur l’environnement de messagerie Hosted Exchange. Cependant, la société a déclaré qu’il n’y avait aucune preuve que l’adversaire ait vu, abusé ou distribué les e-mails ou les données du client à partir de ces dossiers de stockage personnels. Il a en outre déclaré qu’il avait l’intention de retirer sa plate-forme Hosted Exchange dans le cadre d’une migration prévue vers Microsoft 365. On ne sait pas actuellement si Rackspace a payé une rançon aux cybercriminels, mais la divulgation fait suite à un rapport de CrowdStrike le mois dernier qui a fait la lumière sur la nouvelle technique, baptisée OWASSRF, employée par les acteurs du rançongiciel Play. Le mécanisme cible les serveurs Exchange qui ne sont pas corrigés contre les vulnérabilités ProxyNotShell (CVE-2022-41040 et CVE-2022-41082) mais qui ont mis en place des atténuations de réécriture d’URL pour le point de terminaison Autodiscover. Cela implique une chaîne d’exploitation comprenant CVE-2022-41080 et CVE-2022-41082 pour réaliser l’exécution de code à distance d’une manière qui contourne les règles de blocage via Outlook Web Access (OWA). Les failles ont été corrigées par Microsoft en novembre 2022. Le fabricant de Windows, dans une déclaration partagée avec breachtrace, a exhorté les clients à donner la priorité à l’installation de ses mises à jour Exchange Server de novembre 2022 et a noté que la méthode signalée ciblait les systèmes vulnérables qui n’ont pas appliqué les derniers correctifs.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *