Microsoft предупреди днес, че банди за изнудване активно използват уязвимост във VMware ESXi за заобикаляне на удостоверяването при атаки.
Проследен като CVE-2024-37085, този недостатък в сигурността със средна степен на опасност е открит от изследователите по сигурността на Microsoft Едан Цвик, Даниел Кузнец Нохи и Мейтар Пинто и е поправен с пускането на ESXi 8.0 U3 на 25 юни.
Грешката дава възможност на атакуващите да добавят нов потребител към създадената от тях група „ESX Admins“ – потребител, на когото автоматично ще бъдат присвоени пълни административни привилегии в хипервайзора ESXi.
„Злонамерен извършител с достатъчни права в Active Directory (AD) може да получи пълен достъп до хост ESXi, който преди това е бил конфигуриран да използва AD за управление на потребителите, като създаде отново конфигурираната AD група („ESXi Admins“ по подразбиране), след като тя е била изтрита от AD“, обяснява Broadcom.
„Няколко разширени настройки на ESXi имат стойности по подразбиране, които не са защитени по подразбиране. На AD групата „ESX Admins“ автоматично се дава ролята VIM Admin, когато хостът ESXi е присъединен към домейн на Active Directory.“
Макар че успешната атака изисква високи привилегии на целевото устройство и взаимодействие с потребителя, Microsoft казва, че няколко банди за рансъмуер се възползват от нея, за да ескалират до пълни администраторски привилегии на хипервайзори, присъединени към домейн.
Това им позволява да крадат чувствителни данни, съхранявани на хостваните виртуални машини, да се движат странично в мрежите на жертвите и да криптират файловата система на хипервайзора ESXi.
Microsoft е идентифицирала поне три тактики, които могат да се използват за експлоатиране на уязвимостта CVE-2024-37085, включително:
Досега уязвимостта е била използвана в природата от оператори на рансъмуер, проследени като Storm-0506, Storm-1175, Octo Tempest и Manatee Tempest, в атаки, довели до внедряване на рансъмуер Akira и Black Basta.
Например Storm-0506 е внедрил ransomware Black Basta в хипервайзорите ESXi на северноамериканска инженерна фирма след повишаване на привилегиите чрез използване на дефекта CVE-2024-37085.
„Извършителят на заплахата е получил първоначален достъп до организацията чрез заразяване с Qakbot, последвано от използване на уязвимостта Windows CLFS (CVE-2023-28252), за да повиши привилегиите си на засегнатите устройства“, казват от Redmond.
„След това извършителят на атаката е използвал Cobalt Strike и Pypykatz (Python версия на Mimikatz), за да открадне идентификационните данни на двама администратори на домейни и да премине странично към четири контролера на домейни.“
От години се наблюдава нарастваща тенденция за атакуване на хипервайзорите ESXi на дадена организация. Групите, занимаващи се с рансъмуер, започнаха да се фокусират върху виртуалните машини (ВМ) ESXi, след като много предприятия започнаха да ги използват за хостинг на критични приложения и съхранение на данни поради ефективната им работа с ресурси.
Това се случва, тъй като свалянето на ESXi виртуални машини може да доведе до големи прекъсвания и да наруши бизнес операциите, като същевременно криптира файловете и резервните копия, съхранявани на хипервайзора, което силно ограничава възможностите на жертвите да възстановят данните си.
Въпреки това групите, занимаващи се с рансъмуер, са се съсредоточили върху създаването на локери, предназначени за криптиране на ESXi VMs, вместо да се насочат към конкретни ESXi уязвимости (като CVE-2024-37085), които биха им осигурили по-бърз начин за придобиване и поддържане на достъп до хипервайзорите на жертвата.
Групата Play ransomware е най-новата такава операция, която започва да използва ESXi Linux locker в своите атаки.
„Броят на ангажиментите на Microsoft Incident Response (Microsoft IR), които включват насочване към и въздействие върху хипервайзори ESXi, се е увеличил повече от два пъти през последните три години“, предупреждават от Microsoft.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.