在2022年12月初,云计算托管公司Rackspace Exchange托管服务遭到勒索软件攻击,随后官方委托安全公司CrowdStrike进行鉴识调查,而现在调查报告已经出炉,证据显示黑客访问了27个Exchange托管服务用户的个人存储表格(Personal Storage Table),官方提到,Rackspace已经主动联系这些用户,而没有接收到联系的用户则可以放心,另外,Rackspace也不再重建Exchange托管服务环境,将全部搬迁至Microsoft 365。
Rackspace团队近日完成了12月初,勒索软件攻击的鉴识调查。当初外界普遍认为黑客是利用ProxyNotShell漏洞来攻击Rackspace的Exchange托管服务,但调查报告指出,这场攻击是由黑客PLAY发动,并且使用过去未发现的漏洞取得Exchange托管服务的初始访问权限。
这个零日漏洞和CVE-2022-41080有关,微软之前曾披露CVE-2022-41080可以被用于特权升级,但是微软未提到该漏洞也可被用于远程程序代码执行链的一环,Rackspace提醒所有组织和安全团队,应该阅读CrowdStrike最近针对该漏洞所发布的资讯,采取保护系统的必要行动。
在勒索软件攻击发生时,Rackspace Exchange托管服务中尚有将近3万个客户,而鉴识调查确认黑客访问了其中27名客户的个人存储表格,Rackspace已经主动联系这些用户,以采取必要措施,而CrowdStrike认为,目前没有证据显示黑客实际查看、获取、滥用或是传播个人存储表格中的电子邮件和资料。
Rackspace持续恢复用户的电子邮件资料,现在超过一半受影响用户,已经可以下载部分或全部资料,但截至目前为至,只有不到5%的用户进行下载,官方提到,这代表许多用户都有在本地备份和存档资料,或是不需要这些历史资料,但是他们仍然会继续恢复资料,同时会在两个星期内,提供下载资料按需服务。。
鉴识调查已经全部结束,官方表示,受到黑客攻击的只有Exchange托管服务,其他Rackspace产品、平台、解决方案和业务,都没有受到本次勒索软件攻击事件影响。Rackspace未来也不会重建Exchange托管服务电子邮件环境,官方已计划将Exchange托管服务全部搬迁至Microsoft 365。