A Rackspace Technology, provedora de serviços em nuvem, revelou as causas de um incidente de grande escala devido ao qual o serviço Microsoft Exchange teve que ser encerrado. De acordo com o recurso Datacenter Dynamics, uma exploração para uma vulnerabilidade de dia zero serviu como a causa da falha.
O ataque hacker foi organizado no início de dezembro de 2022. A empresa disse que o motivo foi a penetração do ransomware na infraestrutura de TI. A Rackspace não pode lidar com as consequências do incidente por várias semanas, e o serviço Microsoft Exchange teve que ser encerrado. A Cole & Van Note, com sede na Califórnia, já entrou com uma ação coletiva contra a Rackspace devido à indisponibilidade de serviços em nuvem.
Fonte da imagem: Rackspace
Como agora se sabe, o invasor usou uma exploração anteriormente desconhecida para a vulnerabilidade descrita no boletim da Microsoft CVE-2022-41080 para realizar o ataque. Inicialmente, foi dito que a falha permite que um invasor eleve privilégios no sistema atacado. Mas então descobriu-se que o buraco poderia ser usado para executar remotamente código arbitrário (CVE-2022-41082) via Outlook Web Access (OWA). O ataque foi realizado com malware da família PLAY (PlayCrypt). Ataques semelhantes foram realizados desde o verão de 2022, visando organizações na América Latina, Europa e Índia.
A Rackspace negou as especulações de que o exploit ProxyNotShell foi a causa raiz do incidente. Um especialista terceirizado disse ao Dark Reading que a Rackspace evitou aplicar o patch ProxyNotShell devido a preocupações com possíveis “erros de autenticação” que poderiam supostamente travar seus serviços do Exchange. Como resultado, esse atraso se transformou em um grande fracasso, embora a empresa tenha implementado as medidas de segurança recomendadas pela Microsoft.
Quanto aos serviços Hosted Exchange, a Rackspace não planeja retomar seu trabalho. A empresa ainda está trabalhando na recuperação dos dados do usuário. Diz-se que de quase 30 mil usuários do Hosted Exchange, o invasor obteve acesso a arquivos PST de 27 clientes. Para mais da metade das vítimas, os dados foram parcialmente ou totalmente restaurados, mas poucos aproveitaram a oportunidade para baixá-los. “Isso nos indica que muitos de nossos clientes possuem backups ou arquivos locais e, portanto, não precisam de informações restauradas”, enfatiza a mensagem.