Rackspace: Microsoft indirect schuldig aan ransomware-aanval

Rackspace en zijn Exchange-gebruikende klanten zijn begin december getroffen door een grote aanval waarbij Exchange-omgevingen van die klanten zijn versleuteld door cybercriminelen. De hostingaanbieder is nu nog altijd bezig met herstel van deze ransomware-aanval, waarbij klanten dus geen of gemankeerde toegang hebben tot hun mailboxen (en agenda's). "We werken er aan om alle mailboxen beschikbaar te maken", meldt Rackspace in een update.

Migratie naar Microsoft 365

Klanten krijgen daarbij te horen dat ze op een gegeven moment bericht kunnen ontvangen dat hun mailboxen beschikbaar zijn om te downloaden. Dit proces gaat "meerdere weken" in beslag nemen, stelt de gehackte hostingaanbieder. Zodra de PST-bestanden van de mailboxen zijn te downloaden, kunnen klanten die importeren in verse opgezette accounts bij Microsoft.

Rackspace verwijst zijn Exchange-klanten namelijk door naar de 365-dienst van de softwaremaker zelf. Berichten zijn dan ook al opgedoken dat het hostingbedrijf geheel wil gaan stoppen met het aanbieden van Hosted Exchange. Deze activiteit is voor Rackspace relatief klein: het heeft over de ransomware-impact in december al verklaard dat het 1% van de algehele bedrijfsomzet betreft.

Sinds september

Installaties van Microsoft Exchange liggen al sinds september vorig jaar onder vuur van aanvallen op zerodaykwetsbaarheden. Daarbij kunnen kwaadwillenden toegang krijgen tot die mail- en agendaservers, inclusief de inhoud van mailboxen daarop. De zogeheten ProxyShell-kwetsbaarheden geven de mogelijkheid tot het op afstand uitvoeren van eigen code op Exchange-servers, wat dus ook ransomware omvat.

De nieuwere ProxyNotShell-kwetsbaarheden benutten een soortgelijke combinatie van beveiligingsgaten in Exchange. Daarbij is sprake van het aaneenrijgen van twee kwetsbaarheden: CVE-2022-41040 en dan CVE-2022-41082. Beperkende maatregelen van Microsoft hebben dat eerstgenoemde gat afgedekt, maar daar blijkt dus omheen te werken. Misbruik van een andere kwetsbaarheid (CVE-2022-41080) maakt dan alsnog misbruik van de tweede kwetsbaarheid (CVE-2022-41082) mogelijk.

Nieuwe exploitmethode

Deze nieuwe combinatie wordt gebruikt op een nieuwe manier: via de Outlook Web Access (OWA) van Exchange. Zo valt alsnog eigen code uit te voeren op kwetsbare servers. Securitybedrijf CrowdStrike spreekt van een nieuwe exploitmethode, die het de naam OWASSRF geeft en die het belicht in een blogpost van net voor de kerst. OWASSRF is ontdekt in meerdere onderzoeken van CrowdStrike naar ransomware-aanvallen via Exchange.

Rackspace had de Exchange-patch niet geïnstalleerd die Microsoft in november heeft uitgebracht. Die update voor de mail- en agendaserversoftware blijkt namelijk ongewenste bijwerkingen te hebben, zoals authenticatiefouten en het ontoegankelijk maken van OWA. In een uitgestuurde reactie aan de pers stelt Rackspace-CSO Karen O'Reilly-Smith dat het bedrijf met grote mate van zekerheid kan stellen dat CVE-2022-41080 de kernoorzaak van de Exchange-gijzeling is. Daarbij wijst ze beschuldigend naar Microsoft.

Wijzen naar Microsoft

"Microsoft heeft CVE-2022-41080 onthuld als een kwetsbaarheid voor privilege escalation [het verkrijgen van hogere rechten, zoals van beheerders - red.] en heeft geen opmerkingen opgenomen dat het deel kan zijn van een remote code execution chain die valt te misbruiken", aldus het securityhoofd van Rackspace. Door de bijwerkingen van de november-patch en te vertrouwen op Microsofts mitigations was de hostingfirma alsnog kwetsbaar, zoals de aanvallers dus hebben bewezen.