事件概述

云服务提供商Rackspace在遭受勒索软件攻击一个月后，于上周发布了最终调查更新。攻击发生在12月初，由勒索软件团伙Play执行，该团伙访问了Rackspace 3万个托管Exchange客户中27个的个人存储表（PST）数据。

攻击技术细节

攻击通过一个此前未知的Microsoft Exchange Server漏洞利用（被命名为OWASSRF）实现。该漏洞由CrowdStrike首次报告，并协助Rackspace进行了事件响应调查。OWASSRF结合了两个Exchange Server缺陷：

• 权限提升漏洞CVE-2022-41080
• 远程代码执行漏洞CVE-2022-41082（ProxyNotShell）

应对措施与服务迁移

Rackspace宣布其托管Exchange平台（本次攻击中唯一受影响的服务）将被Microsoft 365替代。攻击发生后，Rackspace将托管Exchange环境离线，并开始将客户迁移至Microsoft 365。

未解问题与持续关注

尽管调查已完成，但攻击的具体性质及公司未来运营仍存在疑问。TechTarget编辑在"Risk & Repeat"播客中讨论了事件的最新进展和遗留问题。

订阅Risk & Repeat播客可获取更多深度分析。
Alexander Culafi是位于波士顿的作家、记者和播客主持人。