Rackspace raakte via bekend Exchange-lek besmet met ransomware
Hostingbedrijf Rackspace raakte vorige maand via een bekende kwetsbaarheid in Microsoft Exchange, waarvoor het had nagelaten de beschikbare beveiligingsupdate te installeren, met de Play-ransomware besmet. De ransomware-aanval vond op 2 december plaatst en raakte de hosted Exchange-omgeving van Rackspace. Daardoor hadden klanten geen toegang meer tot hun e-mail. Een maand na de aanval is het bedrijf nog steeds bezig met het herstel van klantdata.
Volgens Rackspace maakten de aanvallers gebruik van een bekende kwetsbaarheid in Exchange om op 29 novbember toegang tot de bedrijfsomgeving te krijgen. Een aantal dagen later werd de ransomware uitgerold. Op 8 november kwam Microsoft met beveiligingsupdates voor kwetsbaarheden in Microsoft Exchange. De beveiligingslekken waren eerder al gebruikt bij zeroday-aanvallen, zo waarschuwde Microsoft eind september.
Om organisaties te beschermen in de tijd dat er nog geen updates beschikbaar waren kwam het techbedrijf met tijdelijke mitigatiemaatregelen die uit url-rewrites bestonden. Via deze url-rewrites moest misbruik van de beveiligingslekken worden voorkomen. Het ging hier om een tijdelijke maatregel, waarbij Microsoft op 8 november adviseerde om de beschikbare patches als echte oplossing te installeren.
Rackspace besloot de updates niet te installeren omdat er operationele problemen mee zouden zijn, aldus een woordvoerder. Het vertrouwde daardoor alleen op de url-rewrites. Twee weken geleden liet securitybedrijf CrowdStrike weten, dat ook betrokken is bij het onderzoek naar de aanval op Rackspace, dat aanvallers een manier hadden gevonden om de url-rewrites van Microsoft te omzeilen.
De nieuwe exploitmethode waarover CrowdStrike berichtte maakt gebruik van CVE-2022-41080 en CVE-2022-41082 om via Outlook Web Access kwetsbare Exchange-servers over te nemen. De methode wordt gebruikt door de criminelen achter de Play-ransomware. Een anonieme bron laat tegenover San Antonio Express News weten dat Rackspace dacht dat de door Microsoft geadviseerde mitigatiemaatregel voldoende was.
Het was echter al na het uitkomen van de url-rewrites duidelijk dat die in eerste instantie niet waterdicht waren. Microsoft kwam meerdere keren met aangepaste url-rewrites omdat eerdere versies niet goed werkten. Op 8 november riep Microsoft organisaties op om de Exchange-update meteen te installeren én dat de eerder genoemde url-rewrites niet meer werden aanbevolen.
Dan kom je tenminste niet met dit soort problemen te zitten waar altijd een luchtje van "het komt door laks beheer van Rackspace" aan zal blijven hangen, hoe goed je het ook uitlegt en motiveert.
En dan is de klant boos, en verhuist naar outlook.com
Dan kom je tenminste niet met dit soort problemen te zitten waar altijd een luchtje van "het komt door laks beheer van Rackspace" aan zal blijven hangen, hoe goed je het ook uitlegt en motiveert.
Met virtualisatie moet dit vrij goed te doen zijn. En zo patched microsoft ook hun servers, icm nieuwe deployments.
En dan is de klant boos, en verhuist naar outlook.com
dat kan ook betekenen dat de update in kwestie iets kapot zou maken bij rackspace. Efin, de damned if you do damned if you don't situatie waarbij je je hele hebben en houden in het vertrouwen van de fabrikant blijkt te hebben die ...
"“Microsoft disclosed CVE-2022-41080 as privilege escalation vulnerability, and did not include notes for being part of a Remote Code Execution chain that was exploitable,” O’Reilly-Smith said via email. "
https://www.cybersecuritydive.com/news/rackspace-play-ransomware-exchange/639509/
En dan is de klant boos, en verhuist naar outlook.com
CrowdStrike, in a blog post released Dec. 20, said it had discovered a new exploit method associated with CVE-2022-41080 and CVE-2022-41082 to achieve remote code execution via Outlook Web Access
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.