Procrastinação é igual: o Rackspace Hosted Exchange sofreu uma grande interrupção devido a um atraso na instalação de patches, mas a empresa não pretende retomar o serviço

A Rackspace Technology, provedora de serviços em nuvem, revelou as causas de um incidente de grande escala devido ao qual o serviço Microsoft Exchange teve que ser encerrado. De acordo com o recurso Datacenter Dynamics, uma exploração para uma vulnerabilidade de dia zero serviu como a causa da falha.

O ataque hacker foi organizado no início de dezembro de 2022. A empresa disse que o motivo foi a penetração do ransomware na infraestrutura de TI. A Rackspace não pode lidar com as consequências do incidente por várias semanas, e o serviço Microsoft Exchange teve que ser encerrado. A Cole & Van Note, com sede na Califórnia, já entrou com uma ação coletiva contra a Rackspace devido à indisponibilidade de serviços em nuvem.

Fonte da imagem: Rackspace

Como agora se sabe, o invasor usou uma exploração anteriormente desconhecida para a vulnerabilidade descrita no boletim da Microsoft CVE-2022-41080 para realizar o ataque. Inicialmente, foi dito que a falha permite que um invasor eleve privilégios no sistema atacado. Mas então descobriu-se que o buraco poderia ser usado para executar remotamente código arbitrário (CVE-2022-41082) via Outlook Web Access (OWA). O ataque foi realizado com malware da família PLAY (PlayCrypt). Ataques semelhantes foram realizados desde o verão de 2022, visando organizações na América Latina, Europa e Índia.

A Rackspace negou as especulações de que o exploit ProxyNotShell foi a causa raiz do incidente. Um especialista terceirizado disse ao Dark Reading que a Rackspace evitou aplicar o patch ProxyNotShell devido a preocupações com possíveis “erros de autenticação” que poderiam supostamente travar seus serviços do Exchange. Como resultado, esse atraso se transformou em um grande fracasso, embora a empresa tenha implementado as medidas de segurança recomendadas pela Microsoft.

Quanto aos serviços Hosted Exchange, a Rackspace não planeja retomar seu trabalho. A empresa ainda está trabalhando na recuperação dos dados do usuário. Diz-se que de quase 30 mil usuários do Hosted Exchange, o invasor obteve acesso a arquivos PST de 27 clientes. Para mais da metade das vítimas, os dados foram parcialmente ou totalmente restaurados, mas poucos aproveitaram a oportunidade para baixá-los. “Isso nos indica que muitos de nossos clientes possuem backups ou arquivos locais e, portanto, não precisam de informações restauradas”, enfatiza a mensagem.

avalanche

Postagens recentes

Erro: a AWS cobrou bilhões e trilhões de dólares dos clientes devido a problemas de faturamento

No dia 17 de julho, os clientes da nuvem AWS receberam por e-mail faturas preliminares…

42 minutos atrás

DOOM: A Idade das Trevas – Revelações. Sem revelações. Análise

\nJogado no PC\n\nO DLC Revelations saiu com um histórico de informações extremamente difícil - os…

2 horas atrás

Pesquisadores descobriram um vírus ClickLock para macOS que rouba senhas e criptomoedas

\nEspecialistas do Group-IB descobriram um novo malware para macOS, chamado ClickLock, que encerra todos os…

3 horas atrás

Na onda do sucesso: uma semana após o lançamento, as vendas de Assassin’s Creed Black Flag Resynced atingiram novos patamares

\nMais de uma semana se passou desde o lançamento do jogo de ação pirata em…

4 horas atrás

Um americano foi preso sob suspeita de roubar criptomoedas por meio de um vírus escondido em jogos Steam.

O FBI prendeu Zyaire Dontaevious Zamarion Wilkins, de 21 anos, na Flórida, e o acusou…

6 horas atrás