Rackspace Mengonfirmasi Bahwa Ransomware Play berada di Balik Serangan Siber Baru-Baru Ini

Penyedia cloud computing Rackspace telah mengonfirmasi bahwa operasi ransomware Play berada di belakang serangan siber baru-baru ini yang meruntuhkan environment Microsoft Exchange yang di-hosting oleh perusahaan. Operasi Play pertama kali terlihat pada Juni 2022, menggunakan e-mail sebagai saluran negosiasi. Eksploitasi yang dijuluki OWASSRF ini memungkinkan penyerang melewati mitigasi URL ProxyNotSHell rewrite yang disediakan oleh Microsoft. Terdapat kemungkinan penyerangan yang menargetkan kerentanan kritis (CVE-2022-41080), memungkinkan eskalasi hak istimewa jarak jauh di server Exchange. Penyerangan juga mengakibatkan eksekusi kode jarak jauh pada server yang rentan dengan menyalahgunakan CVE-2022-41082. Sejak penyerangan ditemukan, Rackspace telah memberikan lisensi gratis kepada pelanggan untuk memigrasikan e-mail mereka dari platform Hosted Exchange ke Microsoft 365. Seluruh organisasi dengan server Microsoft Exchange lokal di jaringan Rackspace disarankan untuk segera menerapkan pembaruan keamanan Exchange terbaru.