Milhares de pequenas e médias empresas estão sofrendo porque a Rackspace sofreu um incidente de segurança em seu serviço Hosted Exchange.

Ontem, 2 de dezembro de 2022, a Rackspace anunciou uma interrupção em seu Hosted Exchange Server:

Atualizado seguido ao longo do dia, mas foram um pouco vagos:

Eu me envolvi no final, pois notei algo e documentei neste tópico:

Principalmente no serviço gerenciado da Rackspace usa os nomes de host mex*.emailsrvr.com para Exchange e OWA:

E então, ao olhar para os dados mais recentes do Shodan, ficou claro que o cluster do Exchange estava mostrando números de compilação longos do Exchange que eram antigos:

Este número de compilação do Exchange é de agosto de 2022, antes dos patches ProxyNotShell serem disponibilizados:

Números longos de compilação do Exchange nem sempre são confiáveis... mas é um sinal que vale a pena ter em mente.

Escrevi sobre o ProxyNotShell, uma vulnerabilidade que denominei — desculpe, aqui: ProxyNotShell — a história dos reivindicados zero dias no Microsoft Exchange | por Kevin Beaumont | DoublePulsar

No início desta manhã, a Rackspace esclareceu que é um incidente de segurança:

Contexto da Ameaça

Agora, é possível que a violação do Rackspace tenha ocorrido devido a outros problemas, mas como um lembrete geral, sugiro alguns pontos-chave sobre a ameaça:

• As mitigações fornecidas pela Microsoft para ProxyNotShell podem ser ignoradas. A reescrita do IIS, que a Microsoft usou para atenuações, não decodifica todas as URLs corretamente e, como tal, pode ser ignorada para exploração. Se você confiou na mitigação do PowerShell ou no aplicativo EEMS, seu Exchange Server ainda está vulnerável — a Microsoft simplesmente não informou isso claramente . A correção é corrigir.
• Embora a vulnerabilidade precise de autenticação, as explorações funcionam sem autenticação multifator, pois o Exchange Server ainda não oferece suporte à autenticação moderna, pois a Microsoft não priorizou o trabalho de implementação (abordado em outro blog).
• Se você for um MSP executando um cluster compartilhado, como o Hosted Exchange, isso significa que uma conta comprometida em um cliente comprometerá todo o cluster hospedado. Isso é alto risco.

• É muito importante que os administradores do Exchange Server acessem a atualização cumulativa e a atualização de segurança mais recentes para o Exchange Server 2013/2016/2019.
• No caso do Exchange Server 2013, é CU23 Nov22SU, também conhecido como build 10.0.1497.44. Você pode verificar seus números de compilação no Shodan ou os administradores do Exchange podem usar este Powershell abaixo. Verifique duas vezes .

$ExchangeServers = Get-ExchangeServer | Sort-Object Name
ForEach ($Server in $ExchangeServers) {
    Invoke-Command -ComputerName $Server.Name -ScriptBlock { Get-Command Exsetup.exe | ForEach-Object { $_.FileversionInfo } }
}

• Se você usar o Microsoft Defender Vulnerability Management, verifique os números de compilação no produto em vez de confiar nas vulnerabilidades identificadas (você perceberá o motivo).
• Se você terceirizar o gerenciamento do Microsoft Exchange e tiver recursos, deverá solicitar uma prova de que cada servidor foi corrigido para cada atualização. Percebo que a maioria das organizações que terceirizam não terá esse recurso.
• Você deve varrer seus Exchange Servers, se você tiver o OWA apresentado à Internet em particular, em busca de webshells (backdoors para mais tarde) e sinais de atividade pós-comprometimento. A maneira mais fácil de fazer isso é executar o Microsoft Safety Scanner e o Sophos Scan & Clean , que são ferramentas de verificação únicas, para varrer e limpar automaticamente um sistema.

O patch do Exchange Server é extremamente complicado, em alguns casos arriscado - quantos nós, administradores, tivemos servidores falhando? — e confuso. A Microsoft precisa modernizá-lo. Além disso, a Autenticação Moderna precisa ser implementada no Exchange Server pela Microsoft — a autenticação básica não é aceitável no ano espacial de 2022.

Espero ataques contínuos a organizações por meio do Microsoft Exchange até 2023. E para aqueles que dizem 'usem o Exchange Online, tolos!', ainda há alguns desafios em torno disso: a autoridade federal de proteção de dados alemã e 17 reguladores estaduais (DSK) publicaram um relatório no Microsoft 365 após dois anos de trabalho com a Microsoft e declara que o Microsoft 365 ainda não atende ao GDPR, citando uma ampla gama de problemas .

O resultado é que os clientes e engenheiros da MS estão sendo deixados nesta situação: