06 janvier 2023Ravie LakshmananSécurité cloud / Cybermenace

Jouer Aux Rançongiciels

Le fournisseur de services cloud Rackspace a confirmé jeudi que le gang de rançongiciels connu sous le nom de Jouer était responsable de la violation du mois dernier.

L’incident de sécurité, qui a eu lieu le 2 décembre 2022, a tiré parti d’un exploit de sécurité jusque-là inconnu pour obtenir un accès initial à l’environnement de messagerie Rackspace Hosted Exchange.

« Cet exploit zero-day est associé à CVE-2022-41080« , la société texane m’a dit. « Microsoft a divulgué CVE-2022-41080 comme une vulnérabilité d’escalade de privilèges et n’a pas inclus de notes pour faire partie d’une chaîne d’exécution de code à distance qui était exploitable. »

L’enquête médico-légale de Rackspace a révélé que l’auteur de la menace avait accédé à la table de stockage personnelle (.TVP) de 27 clients sur près de 30 000 clients sur l’environnement de messagerie Hosted Exchange.

Publicité

Cependant, la société a déclaré qu’il n’y avait aucune preuve que l’adversaire ait vu, abusé ou distribué les e-mails ou les données du client à partir de ces dossiers de stockage personnels. Il a en outre déclaré qu’il avait l’intention de retirer sa plate-forme Hosted Exchange dans le cadre d’une migration prévue vers Microsoft 365.

On ne sait pas actuellement si Rackspace a payé une rançon aux cybercriminels, mais la divulgation fait suite à un rapport de CrowdStrike le mois dernier qui a fait la lumière sur la nouvelle technique, baptisée OWASSRF, employée par les acteurs du rançongiciel Play.

Le mécanisme cible les serveurs Exchange non corrigés contre les vulnérabilités ProxyNotShell (CVE-2022-41040 et CVE-2022-41082) mais ont mis en place des atténuations de réécriture d’URL pour le point de terminaison de découverte automatique.

Cela implique une chaîne d’exploitation comprenant CVE-2022-41080 et CVE-2022-41082 pour réaliser l’exécution de code à distance d’une manière qui contourne les règles de blocage via Outlook Web Access (OWA). Les failles ont été corrigées par Microsoft en novembre 2022.

Le fabricant de Windows, dans une déclaration partagée avec The Hacker News, a exhorté les clients à donner la priorité à l’installation de son Mises à jour du serveur Exchange de novembre 2022 et que la méthode signalée cible les systèmes vulnérables qui n’ont pas appliqué les derniers correctifs.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


Rate this post
Publicité
Article précédent‘Zom 100’: série animée Aso Haro à Viz Media, Hulu
Article suivant‘Wednesday’ en tête des audiences hebdomadaires en streaming pour la troisième semaine consécutive | KFI SUIS 640
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici