La chaîne d’exploitation MS Exchange récemment révélée par les scientifiques de Crowdstrike explique comment le gang de rançongiciels Play a piraté l’environnement de messagerie Rackspace Hosted Exchange, a confirmé la société la semaine dernière.
L’utilisation des chaînes CVE -2022-41082, un défaut RCE, et CVE-2022-41080, une vulnérabilité d’escalade d’avantage, pour obtenir un accès à distance illimité aux configurations MS Exchange sensibles.
« Nous partagerons des détails plus complets avec nos clients et des pairs de la communauté de la sécurité afin que, collectivement, nous puissions tous mieux prévenir ce type d’exploits à l’avenir », a rappelé Rackspace dans sa dernière mise à jour sur l’examen médico-légal conclu.
Les retombées de l’attaque
Les clients essayant de se connecter à l’environnement Hosted Exchange de Rackspace ont commencé à avoir des problèmes le 2 décembre 2022, et assez tôt l’entreprise a confirmé qu’une faille de sécurité s’était produite, en raison d’une attaque de ransomware.
Les clients – principalement des petites et moyennes entreprises – ont cessé d’obtenir ting et être en mesure d’envoyer des e-mails, et a perdu l’accès aux e-mails archivés. Pour les aider à retrouver la capacité d’e-mail, Rackspace a utilisé une licence Microsoft Exchange Strategy 1 gratuite sur Microsoft 365 et des recommandations et une assistance pour effectuer le changement, tout en traitant de la récupération des informations d’e-mail historiques des consommateurs.
Sur une un mois plus tard, « plus de la moitié des clients concernés ont tout ou partie de leurs informations à leur disposition pour téléchargement », mais moins de 5 % d’entre eux ont effectivement téléchargé ces boîtes aux lettres.
« Cela suggère de nous qu’une grande partie de nos consommateurs ont des informations prises en charge dans votre région, archivées ou n’ont pas besoin des informations historiques « , a gardé à l’esprit Rackspace, mais a déclaré qu’ils s’efforçaient néanmoins de récupérer toutes les informations possibles.
Enfin, l’enquête médico-légale de Crowdstrike a vérifié que les opposants avaient accédé aux tables de stockage personnelles (PST) de 27 clients Exchange hébergés, mais qu’il n’y avait « aucune preuve que la star du risque ait en fait vu, obtenu, utilisé à mauvais escient ou distribué des e-mails ou des données ». dans les PST pour l’un des 27 consommateurs Hosted Exchange de quelque manière que ce soit. »
Quelle est la prochaine étape pour les clients ?
Bien que l’entreprise soit prête à fournir dans les 2 semaines un service à la demande pour les clients qui souhaitent télécharger leurs informations archivées, il ne peut y avoir retour à l’utilisation du service Rackspace Hosted Exchange.
« L’environnement de messagerie Hosted Exchange ne sera pas reconstruit en tant qu’offre de service avancée », Rackspace a finalement confirmé une décision que beaucoup anticipaient.
« Même avant le récent incident de sécurité, la migration de l’environnement de messagerie Hosted Exchange vers Microsoft 365 était en fait prévue, qui a un modèle de prix plus polyvalent, ainsi que des fonctions et des fonctionnalités plus modernes. Il n’y aura aucun coût augmenter pour nos clients Hosted Exchange s’ils choisissent de passer à Microsoft 365 et de sélectionner un plan avec les mêmes fonctionnalités qu’ils ont actuellement.Chaque consommateur Hosted Exchange a la possibilité de se déplacer et de payer exactement ce qu’il paie aujourd’hui ou peut-être des dépenses légèrement inférieures et ont exactement les mêmes capacités. »
Les clients qui ne souhaitent pas ou ne peuvent pas passer à Microsoft 365 – mais qui ont toujours confiance dans les capacités de sécurité de l’entreprise – ont été orientés vers le service Rackspace Email.
Entre-temps, de nombreux recours collectifs ont été déposés contre Rackspace à travers les États-Unis en raison de cet événement.
Le groupe de rançongiciels Play développe son arsenal
Rackspace n’ont pas divulgué s’ils avaient payé la rançon pour faire déchiffrer les informations cryptées, ni partagé la quantité demandée.
Le groupe de rançongiciels Play a également récemment frappé la ville d’Anvers (Belgique) et la chaîne hôtelière allemande H-Hotels.
Les chercheurs de Trend Micro ont documenté le manuel d’attaque du rançongiciel Play en septembre 2022, mais sans aucun doute, l’accès préliminaire aux capacités du groupe de rançongiciels a été amélioré grâce à l’utilisation de cette nouvelle chaîne d’exploitation Exchange – et Rackspace en a souffert.
« Microsoft a divulgué CVE-2022-41080 comme une vulnérabilité d’escalade d’avantages et n’a pas inclus de notes pour appartenir à une chaîne d’exécution de code à distance qui était exploitable », a noté Rackspace. Et, malheureusement, de nombreuses organisations accusent un retard considérable en ce qui concerne la suppression des vulnérabilités.
Toute l’actualité en temps réel, est sur L’Entrepreneur
