{"id":275736,"date":"2022-12-07T12:45:00","date_gmt":"2022-12-07T11:45:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=275736"},"modified":"2024-02-07T13:21:33","modified_gmt":"2024-02-07T12:21:33","slug":"ransomware-angriff-fr-ausfall-der-rackspace-exchange-instanzen-im-dez-2022-verantwortlich","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/12\/07\/ransomware-angriff-fr-ausfall-der-rackspace-exchange-instanzen-im-dez-2022-verantwortlich\/","title":{"rendered":"Ransomware-Angriff für Ausfall der Rackspace-Exchange-Instanzen im Dez. 2022 verantwortlich"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Anfang Dezember 2022 gab es einen mehrt\u00e4gigen Ausfall der Exchange-Instanzen des US-Anbieters Rackspace. Nun hat das Unternehmen bekannt gegeben, dass ein Ransomware-Angriff auf seine Server der Grund f\u00fcr diesen Ausfall war. Unklar ist, ob Kundendaten von diesem Vorfall betroffen waren. Mir ist auch nicht bekannt, ob deutsche oder europ\u00e4ische Kunden (z.B. Ionos, Vodafone etc.) von diesem Ereignis betroffen waren.\u00a0 Es steht zumindest der Verdacht im Raum, dass die ProxyNotShell-Schwachstellen das Einfallstor waren.<\/p>\n

<\/p>\n

\"\"Rackspace<\/a> ist ein IT-Services-Provider aus den USA, mit Hauptsitz in San Antonio, Texas. Das Unternehmen z\u00e4hlt zu den gr\u00f6\u00dften Vertretern seiner Branche (3 Milliarden US-Dollar), und ist weltweit aktiv. Zu den Kunden z\u00e4hlen beziehungsweise z\u00e4hlten beispielsweise GitHub, Vodafone und Mazda.<\/p>\n

Der Hosted Exchange-Ausfall<\/h2>\n

Ich hatte es Anfang Dezember 2022 am Rande mitbekommen, aber nicht im Blog thematisiert, weil unklar war, ob es Europa tangiert. Rackspace hatte am 2. Dezember 2022 in einer Reihe von Tweets Probleme mit seinen gehosteten Exchange-Instanzen einger\u00e4umt.<\/p>\n

\"Rackspace<\/p>\n

Am 3. Dezember 2022 gab es dann die Meldung im Statusbereich<\/a>, dass \"ein Problem\" die die Hosted Exchange-Umgebung des Anbieters betraf. Die Hosted Exchange-Umgebung wurde proaktiv heruntergefahren und vom Internet getrennt, um das Ausma\u00df und den Schweregrad der Auswirkungen zu untersuchen. Dort war bereits bekannt geworden, dass nach einer Analyse ein Sicherheitsvorfall festgestellt wurde.<\/p>\n

Betroffen waren wohl Kunden, die Exchange-Hosting-Dienste von Rackspace gebucht hatten. Deren E-Mail-Server waren danach weg und die Kunden mussten diese neu aufsetzen. Der Hoster bot Kunden kostenlos einen Zugang zu Microsoft Exchange Plan 1-Lizenzen auf Microsoft 365 an. Am 5. Dezember 2022 konnte Rackspace vermelden, dass die E-Mail-Dienste f\u00fcr Tausende Kunden wiederhergestellt waren.<\/p>\n

Ransomware-Infektion als Ursache<\/h2>\n

In der letzten Statusmeldung vom 6. Dezember 2022 geht der Anbieter davon aus, dass der Sicherheitsvorfall auf die Hosted Exchange-Dienste beschr\u00e4nkt war. Das Unternehmen hat neben dem internen Sicherheitsteam eine weitere Sicherheitsfirma mit der Untersuchung beauftragt. Die Untersuchung bef\u00e4nden sich noch im Anfangsstadium, hei\u00dft es. Daher wurden keine Aussagen getroffen, ob und welche Daten \u00fcberhaupt, betroffen waren.<\/p>\n

\"Rackspace<\/p>\n

Auf der deutschsprachigen Rackspace-Webseite<\/a> finden sich aktuell auch nicht mehr Informationen. Blog-Leser Daniel K. hatte mich per Mail darauf hingewiesen, dass es sich um einen Ransomware-Vorfall handele (siehe hier<\/a>) und m\u00f6glicherweise deutsche Kunden betroffen seien (danke daf\u00fcr). Diese Information war mir am fr\u00fchen Morgen auch \u00fcber diverse Sicherheits-Webseiten (z.B. dieser Beitrag von Bleeping Computer<\/a>) untergekommen. Im Statusbereich<\/a> des Unternehmens wird zum 7. Dezember 2022 ein Ransomware-Vorfall als Ursache eingestanden.<\/p>\n

Hosted Exchange Disruption
\n08:26 AM EST 12\/06\/22<\/p>\n

We appreciate your patience as we continue to work through the security issues that have affected our Hosted Exchange environment. As you know, on Friday, December 2nd, 2022, we became aware of suspicious activity and immediately took proactive measures to isolate the Hosted Exchange environment to contain the incident. We have since determined this suspicious activity was the result of a ransomware incident<\/strong>.<\/p><\/blockquote>\n

Details werden aber nicht wirklich verraten. Der Artikel hier<\/a> auf Security Week sowie enth\u00e4lt noch einige zus\u00e4tzliche Informationen. Im Artikel wird Sicherheitsexperte Kevin Beaumont zitiert, der vermutet, dass die Infektion m\u00f6glicherweise durch Ausnutzung der Microsoft Exchange-Schwachstellen CVE-2022-41040 und CVE-2022-41082 (als ProxyNotShell bekannt) m\u00f6glich war.<\/p>\n

Zu dieser Schwachstelle, die Ende September 2022 als 0-day bekannt wurde und dann von Microsoft mehrfach mit ungeeigneten Ma\u00dfnahmen abgeschw\u00e4cht wurde, hatte ich ja einige Blog-Beitr\u00e4ge – siehe die Links am Artikelende. Die Entdeckung der Schwachstelle erfolgte, nachdem ein vietnamesisches Cybersicherheitsunternehmen eine Ausnutzung in freier Wildbahn (vermutlich durch eine staatliche Hackergruppe) beobachtet hatte. Microsoft hat dann im November 2022 ein Sicherheitsupdate ver\u00f6ffentlicht (siehe Exchange Server Sicherheitsupdates (8. November 2022)<\/a>).<\/p>\n

Kevin Beaumont stellte fest, dass ein Rackspace Exchange-Server-Cluster, der nun offline ist, einige Tage vor der Ver\u00f6ffentlichung des Vorfalls eine Build-Nummer vom August 2022 verwendete. Es ist daher nicht von der Hand zu weisen, dass die Ransomware-Infektion genau \u00fcber diese Schwachstelle erfolgte – aber es bleibt abzuwarten, was die Untersuchung von Rackspace zutage f\u00f6rdert und ob das dann \u00f6ffentlich wird.<\/p>\n

Erg\u00e4nzung:<\/strong> Bleeping Computer hat am 4. Januar 2024 noch einen Artikel<\/a> ver\u00f6ffentlicht, der eine Infektion mit der Play Ransomware best\u00e4tigt.<\/p>\n

Artikelreihe:<\/strong>
\nExchange Server werden \u00fcber 0-day Exploit angegriffen (29. Sept. 2022)<\/a>
\nMicrosofts Empfehlungen f\u00fcr die Exchange Server 0-day-Schwachstelle ZDI-CAN-18333<\/a>
\nNeues zur Exchange Server 0-day-Schwachstelle ZDI-CAN-18333: Korrekturen, Scripte und EMS-L\u00f6sung<\/a>
\nExchange Server: Microsofts 0-day-Schutz aushebelbar, neue Einsch\u00e4tzungen (3. Oktober 2022)<\/a>
\nExchange Server: Microsofts bessert L\u00f6sungen f\u00fcr 0-day-Schutz nach (5. Oktober 2022)<\/a>
\nExchange Server: Microsofts bessert L\u00f6sungen f\u00fcr 0-day-Schutz nach (8. Oktober 2022)<\/a>
\nExchange Server Sicherheitsupdates (11. Oktober 2022)<\/a>
\nExchange Server Sicherheitsupdates (8. November 2022)<\/a>
\n\u00c4rger: Schweizer NCSC informiert Kunden \u00fcber unsicherere Exchange Server (Dez. 2022)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Anfang Dezember 2022 gab es einen mehrt\u00e4gigen Ausfall der Exchange-Instanzen des US-Anbieters Rackspace. Nun hat das Unternehmen bekannt gegeben, dass ein Ransomware-Angriff auf seine Server der Grund f\u00fcr diesen Ausfall war. Unklar ist, ob Kundendaten von diesem Vorfall betroffen waren. … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[5359,4328],"class_list":["post-275736","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-exchange","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/275736","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=275736"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/275736\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=275736"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=275736"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=275736"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}