Търсене
Close this search box.

Microsoft предупреди днес, че банди за изнудване активно използват уязвимост във VMware ESXi за заобикаляне на удостоверяването при атаки.

Проследен като CVE-2024-37085, този недостатък в сигурността със средна степен на опасност е открит от изследователите по сигурността на Microsoft Едан Цвик, Даниел Кузнец Нохи и Мейтар Пинто и е поправен с пускането на ESXi 8.0 U3 на 25 юни.

Грешката дава възможност на атакуващите да добавят нов потребител към създадената от тях група „ESX Admins“ – потребител, на когото автоматично ще бъдат присвоени пълни административни привилегии в хипервайзора ESXi.

„Злонамерен извършител с достатъчни права в Active Directory (AD) може да получи пълен достъп до хост ESXi, който преди това е бил конфигуриран да използва AD за управление на потребителите, като създаде отново конфигурираната AD група („ESXi Admins“ по подразбиране), след като тя е била изтрита от AD“, обяснява Broadcom.

„Няколко разширени настройки на ESXi имат стойности по подразбиране, които не са защитени по подразбиране. На AD групата „ESX Admins“ автоматично се дава ролята VIM Admin, когато хостът ESXi е присъединен към домейн на Active Directory.“

Макар че успешната атака изисква високи привилегии на целевото устройство и взаимодействие с потребителя, Microsoft казва, че няколко банди за рансъмуер се възползват от нея, за да ескалират до пълни администраторски привилегии на хипервайзори, присъединени към домейн.

Това им позволява да крадат чувствителни данни, съхранявани на хостваните виртуални машини, да се движат странично в мрежите на жертвите и да криптират файловата система на хипервайзора ESXi.

Microsoft е идентифицирала поне три тактики, които могат да се използват за експлоатиране на уязвимостта CVE-2024-37085, включително:

  • Добавяне на групата „ESX Admins“ в домейна и добавяне на потребител.
  • Преименуване на която и да е група в домейна на „ESX Admins“ и добавяне на потребител към групата или използване на съществуващ член на групата.
  • Обновяване на привилегиите на хипервайзора ESXi (присвояването на администраторски привилегии на други групи няма да ги премахне от групата „ESX Admins“).

Използван в атаките на рансъмуер Black Basta и Akira

Досега уязвимостта е била използвана в природата от оператори на рансъмуер, проследени като Storm-0506, Storm-1175, Octo Tempest и Manatee Tempest, в атаки, довели до внедряване на рансъмуер Akira и Black Basta.

Например Storm-0506 е внедрил ransomware Black Basta в хипервайзорите ESXi на северноамериканска инженерна фирма след повишаване на привилегиите чрез използване на дефекта CVE-2024-37085.

„Извършителят на заплахата е получил първоначален достъп до организацията чрез заразяване с Qakbot, последвано от използване на уязвимостта Windows CLFS (CVE-2023-28252), за да повиши привилегиите си на засегнатите устройства“, казват от Redmond.

„След това извършителят на атаката  е използвал Cobalt Strike и Pypykatz (Python версия на Mimikatz), за да открадне идентификационните данни на двама администратори на домейни и да премине странично към четири контролера на домейни.“

От години се наблюдава нарастваща тенденция за атакуване на хипервайзорите ESXi на дадена организация. Групите, занимаващи се с рансъмуер, започнаха да се фокусират върху виртуалните машини (ВМ) ESXi, след като много предприятия започнаха да ги използват за хостинг на критични приложения и съхранение на данни поради ефективната им работа с ресурси.

Това се случва, тъй като свалянето на ESXi виртуални машини може да доведе до големи прекъсвания и да наруши бизнес операциите, като същевременно криптира файловете и резервните копия, съхранявани на хипервайзора, което силно ограничава възможностите на жертвите да възстановят данните си.

Въпреки това групите, занимаващи се с рансъмуер, са се съсредоточили върху създаването на локери, предназначени за криптиране на ESXi VMs, вместо да се насочат към конкретни ESXi уязвимости (като CVE-2024-37085), които биха им осигурили по-бърз начин за придобиване и поддържане на достъп до хипервайзорите на жертвата.

 

Групата Play ransomware е най-новата такава операция, която започва да използва ESXi Linux locker в своите атаки.

„Броят на ангажиментите на Microsoft Incident Response (Microsoft IR), които включват насочване към и въздействие върху хипервайзори ESXi, се е увеличил повече от два пъти през последните три години“, предупреждават от Microsoft.

 

Източник: По материали от Интернет

Подобни публикации

5 октомври 2024

Сривът на киберфирмата на елита от националнaта...

Сривът на IronNet: Някои твърдят, че фирмата се е сринала отчасти з...
5 октомври 2024

Рансъмуерът удря критичната инфраструктура, а р...

Финансовото въздействие на кибератака, насочена към киберфизична си...
4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
Бъдете социални
Още по темата
03/10/2024

Microsoft представя Copilot...

Във вторник Microsoft представи нов инструмент...
30/09/2024

„Петте очи“ публикуват ръко...

Правителствени агенции от страните от инициативата...
21/09/2024

Windows Server 2025 ще се ...

Microsoft обяви днес, че Hotpatching вече...
Последно добавени
05/10/2024

Сривът на киберфирмата на е...

Сривът на IronNet: Някои твърдят, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!