Der von Rackspace gehostete Exchange erlitt ab dem 2. Dezember 2022 einen katastrophalen Ausfall, der am 4. Dezember um 00:37 Uhr noch andauert. Ursprünglich als Verbindungs- und Anmeldeprobleme beschrieben, wurde die Anleitung schließlich aktualisiert, um bekannt zu geben, dass es sich um einen Sicherheitsvorfall handelte.
Probleme mit Rackspace Hosted Exchange
Das Rackspace-System fiel in den frühen Morgenstunden des 2. Dezember 2022 aus. Zunächst gab es von Rackspace kein Wort darüber, was das Problem war, geschweige denn eine ETA, wann es gelöst werden würde.
Kunden auf Twitter berichteten, dass Rackspace nicht auf Support-E-Mails reagierte.
Das war ein ziemlicher Tag mit #Rackplatz. Jeder gehostete Exchange-Client ist seit etwa 14 Stunden ausgefallen. Support liest/antwortet nicht auf Tickets. Updates sind nicht hilfreich.
Ich mache mir jetzt Sorgen, dass sie Opfer von etwas Schlimmem wie dem ProxyNotShell PoC-Hack geworden sind. https://t.co/jchKsAO3Z7
— Joe Sinkwitz (@CygnusSEO) 2. Dezember 2022
Ein Rackspace-Kunde hat mich am Freitag privat über soziale Medien angeschrieben, um seine Erfahrungen zu schildern:
„Alle gehosteten Exchange-Clients sind in den letzten 16 Stunden ausgefallen.
Ich bin mir nicht sicher, wie viele Unternehmen das sind, aber es ist signifikant.
Sie liefern einen 554-Bounce mit langer Verzögerung, sodass Leute, die eine E-Mail senden, den Bounce mehrere Stunden lang nicht bemerken.“
Die offizielle Rackspace-Statusseite bot ein laufendes Update des Ausfalls, aber die ersten Posts enthielten keine anderen Informationen als dass es einen Ausfall gab und dieser untersucht wurde.
Das erste offizielle Update war am 2. Dezember um 2:49 Uhr:
„Wir untersuchen ein Problem, das unsere Hosted Exchange-Umgebungen betrifft. Weitere Details werden veröffentlicht, sobald sie verfügbar sind.“
Dreizehn Minuten später begann Rackspace, es als „Konnektivitätsproblem“ zu bezeichnen.
„Wir untersuchen Berichte über Verbindungsprobleme mit unseren Exchange-Umgebungen.
Benutzer können beim Zugriff auf die Outlook Web App (Webmail) und beim Synchronisieren ihrer E-Mail-Clients einen Fehler feststellen.“
Um 6:36 Uhr beschrieben die Rackspace-Updates das anhaltende Problem als „Konnektivitäts- und Anmeldeprobleme“, später am Nachmittag um 13:54 Uhr gab Rackspace bekannt, dass sie sich immer noch in der „Untersuchungsphase“ des Ausfalls befinden und immer noch versuchen, herauszufinden, was los war falsch.
Und sie nannten es an diesem Nachmittag um 16:51 Uhr immer noch „Verbindungs- und Anmeldeprobleme“ in ihren Cloud Office-Umgebungen.
Rackspace empfiehlt die Migration zu Microsoft 365
Vier Stunden später bezeichnete Rackspace die Situation als „erheblichen Fehler“ und begann, seinen Kunden kostenlose Microsoft Exchange Plan 1-Lizenzen auf Microsoft 365 als Workaround anzubieten, bis sie das Problem verstanden und das System wieder online bringen konnten.
In der offiziellen Anleitung heißt es:
„Wir haben einen erheblichen Fehler in unserer Hosted Exchange-Umgebung erlebt. Wir fahren die Umgebung proaktiv herunter, um weitere Probleme zu vermeiden, während wir weiter daran arbeiten, den Dienst wiederherzustellen. Während wir weiterhin an der Ursache des Problems arbeiten, haben wir eine alternative Lösung, die Ihre Fähigkeit zum Senden und Empfangen von E-Mails wieder aktiviert.
Wir stellen Ihnen bis auf weiteres kostenlos Zugriff auf Microsoft Exchange Plan 1-Lizenzen für Microsoft 365 zur Verfügung.“
Sicherheitsvorfall von Rackspace Hosted Exchange
Erst fast 24 Stunden später, am 3. Dezember um 1:57 Uhr, gab Rackspace offiziell bekannt, dass ihr gehosteter Exchange-Dienst von einem Sicherheitsvorfall betroffen war.
Die Ankündigung enthüllte weiter, dass die Techniker von Rackspace die Exchange-Umgebung heruntergefahren und getrennt hatten.
Rackspace gepostet:
„Nach weiterer Analyse haben wir festgestellt, dass es sich um einen Sicherheitsvorfall handelt.
Die bekannte Auswirkung ist auf einen Teil unserer Hosted Exchange-Plattform beschränkt. Wir ergreifen die notwendigen Maßnahmen, um unsere Umwelt zu bewerten und zu schützen.“
Zwölf Stunden später an diesem Nachmittag aktualisierten sie die Statusseite mit weiteren Informationen, dass ihr Sicherheitsteam und externe Experten immer noch an der Behebung des Ausfalls arbeiteten.
War der Rackspace-Service von einer Sicherheitslücke betroffen?
Rackspace hat keine Details des Sicherheitsvorfalls veröffentlicht.
Ein Sicherheitsereignis beinhaltet im Allgemeinen eine Schwachstelle, und es gibt derzeit zwei schwerwiegende Schwachstellen, die im November 2022 gepatcht wurden.
Dies sind die beiden aktuellsten Sicherheitslücken:
- CVE-2022-41040
Schwachstelle in Microsoft Exchange Server Server-Side Request Forgery (SSRF).
Ein Server Side Request Forgery (SSRF)-Angriff ermöglicht es einem Hacker, Daten auf dem Server zu lesen und zu ändern. - CVE-2022-41082
Sicherheitsanfälligkeit in Microsoft Exchange Server bezüglich Remotecodeausführung
Eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung ist eine Schwachstelle, bei der ein Angreifer schädlichen Code auf einem Server ausführen kann.
Ein im Oktober 2022 veröffentlichtes Advisory beschrieb die Auswirkungen der Schwachstellen:
„Ein authentifizierter Remote-Angreifer kann SSRF-Angriffe durchführen, um Berechtigungen zu eskalieren und willkürlichen PowerShell-Code auf anfälligen Microsoft Exchange-Servern auszuführen.
Da der Angriff gegen den Microsoft Exchange-Postfachserver gerichtet ist, kann der Angreifer potenziell Zugriff auf andere Ressourcen erlangen, indem er sich seitlich in Exchange- und Active Directory-Umgebungen bewegt.“
Die Rackspace-Ausfallaktualisierungen haben nicht angegeben, was das spezifische Problem war, sondern nur, dass es sich um einen Sicherheitsvorfall handelte.
Das aktuellste Status-Update vom 4. Dezember gab an, dass der Dienst immer noch ausgefallen ist und Kunden aufgefordert werden, auf den Microsoft 365-Dienst zu migrieren.
Rackspace hat am 4. Dezember 2022 um 00:37 Uhr Folgendes gepostet:
„Wir machen weiterhin Fortschritte bei der Bewältigung des Vorfalls. Die Verfügbarkeit Ihres Dienstes und die Sicherheit Ihrer Daten ist von hoher Bedeutung.
Wir haben umfangreiche interne Ressourcen und erstklassiges externes Fachwissen in unsere Bemühungen eingebunden, negative Auswirkungen auf unsere Kunden zu minimieren.“
Es ist möglich, dass die oben genannten Schwachstellen mit dem Sicherheitsvorfall zusammenhängen, der den Rackspace Hosted Exchange-Dienst betrifft.
Es wurde nicht bekannt gegeben, ob Kundeninformationen kompromittiert wurden. Diese Veranstaltung läuft noch.
Ausgewähltes Bild von Shutterstock/Orn Rin