VMware ESXi: Ransomware Csoportok Új Trükkje
A Microsoft sürgeti a VMware ESXi hypervisor használóit, hogy azonnal tegyenek lépéseket a folyamatos ransomware támadások elhárítására, amelyek teljes adminisztratív kontrollt adnak a támadóknak a szerverek felett.
A sebezhetőség, amelyet CVE-2024-37085 néven követnek, lehetővé teszi a támadóknak, akik már korlátozott rendszerjogokat szereztek egy célzott szerveren, hogy teljes adminisztrációs kontrollt szerezzenek az ESXi hypervisor felett. Több ransomware szindikátushoz kapcsolódó támadók—köztük a Storm-0506, Storm-1175, Octo Tempest és Manatee Tempest—már hónapok óta kihasználják a hibát számos utólagos kompromittálási támadásban.
Alapértelmezett adminisztrációs jogok
Az ESXi hypervisor teljes adminisztrációs kontrolljával a támadók különböző képességekkel rendelkeznek, beleértve a fájlrendszer titkosítását és a szerverek leállítását. A hypervisor kontrollja lehetővé teszi a támadóknak, hogy hozzáférjenek a tárolt virtuális gépekhez, hogy vagy adatokat exfiltráljanak, vagy növeljék a hálózaton belüli jelenlétüket. A Microsoft a támadások kivizsgálása során fedezte fel a sebezhetőséget, és jelentette a VMware-nek. A VMware anyavállalata, a Broadcom, csütörtökön javította a sebezhetőséget.
A Microsoft Threat Intelligence csapata hétfőn írta: „A Microsoft biztonsági kutatói új utólagos kompromittálási technikát azonosítottak, amelyet ransomware operátorok, mint a Storm-0506, Storm-1175, Octo Tempest és Manatee Tempest használnak számos támadásban.”
A bejegyzés egy megdöbbentő felfedezést dokumentált: Az ESXi hypervisor jogosultságainak korlátlan adminisztrációs szintre emelése olyan egyszerű volt, mint egy új domain csoport létrehozása „ESX Admins” néven. Innentől kezdve minden felhasználó, aki a csoporthoz van rendelve—beleértve az újonnan létrehozottakat is—automatikusan adminisztrátorrá válik, mindenféle hitelesítés nélkül.
Hihetetlenül egyszerű kihasználás
A sebezhetőség további elemzése azt mutatta, hogy az Active Directory domainhez csatlakozott VMware ESXi hypervisorok alapértelmezés szerint teljes adminisztratív hozzáférést biztosítanak minden „ESX Admins” nevű domain csoport tagjainak. Ez a csoport nem egy beépített csoport az Active Directory-ban, és alapértelmezés szerint nem létezik. Az ESXi hypervisorok nem ellenőrzik, hogy ilyen csoport létezik-e, amikor a szerver csatlakozik a domainhez, és továbbra is teljes adminisztratív hozzáférést biztosítanak minden ilyen nevű csoport tagjainak, még akkor is, ha a csoport eredetileg nem létezett.
A csoport létrehozása csak két parancsot igényel:
net group "ESX Admins" /domain /add
net group "ESX Admins" username /domain /add
A Microsoft kutatói egy támadást írtak le, amelyet a Storm-0506 fenyegetési csoport észlelt, hogy telepítsen egy Black Basta nevű ransomware-t. Közbenső lépéseként a Storm-0506 telepített egy Qakbot nevű malware-t, és kihasznált egy korábban javított Windows sebezhetőséget, hogy megkönnyítse két hackelési eszköz, a Cobalt Strike és a Mimikatz telepítését.
Érdekesség: Az AI képes gyorsan és hatékonyan azonosítani az ilyen típusú támadásokat, lehetővé téve a gyors reagálást és a potenciális károk minimalizálását.
Források: Microsoft Threat Intelligence Team, VMware, Broadcom