Microsoft hat heute davor gewarnt, dass Ransomware-Gruppen aktiv eine VMware ESXi Authentifizierungs-Bypass-Schwachstelle in ihren Angriffen ausnutzen.

Diese mittlere Sicherheitslücke, bekannt als CVE-2024-37085, wurde von den Microsoft-Sicherheitsforschern Edan Zwick, Danielle Kuznets Nohi und Meitar Pinto entdeckt und mit der Veröffentlichung von ESXi 8.0 U3 am 25. Juni behoben.

Die Schwachstelle ermöglicht es Angreifern, einen neuen Benutzer zu einer von ihnen erstellten „ESX Admins“-Gruppe hinzuzufügen. Dieser Benutzer erhält automatisch vollständige Administratorrechte auf dem ESXi-Hypervisor.

„Ein böswilliger Akteur mit ausreichenden Active Directory (AD) Berechtigungen kann vollen Zugriff auf einen ESXi-Host erlangen, der zuvor so konfiguriert war, dass er AD für das Benutzermanagement verwendet, indem er die konfigurierte AD-Gruppe (‚ESXi Admins‘ standardmäßig) nach ihrer Löschung aus AD wieder erstellt“, erklärt Broadcom.

„Mehrere erweiterte ESXi-Einstellungen haben standardmäßig unsichere Werte. Die AD-Gruppe ‚ESX Admins‘ erhält automatisch die VIM-Admin-Rolle, wenn ein ESXi-Host einer Active Directory-Domäne beigetreten ist.“

Während ein erfolgreicher Angriff hohe Privilegien auf dem Zielgerät und Benutzerinteraktion erfordert, sagt Microsoft, dass mehrere Ransomware-Gruppen die Schwachstelle nutzen, um volle Admin-Rechte auf domänenverbundenen Hypervisoren zu eskalieren.

Dies ermöglicht ihnen, sensible Daten auf den gehosteten VMs zu stehlen, sich seitlich durch die Netzwerke der Opfer zu bewegen und das Dateisystem des ESXi-Hypervisors zu verschlüsseln.

Angriffsstrategien

Microsoft hat mindestens drei Taktiken identifiziert, die zur Ausnutzung der CVE-2024-37085-Schwachstelle verwendet werden könnten, darunter:

  1. Hinzufügen der „ESX Admins“-Gruppe zur Domäne und Hinzufügen eines Benutzers.
  2. Umbenennen einer beliebigen Gruppe in der Domäne in „ESX Admins“ und Hinzufügen eines Benutzers zur Gruppe oder Verwendung eines vorhandenen Gruppenmitglieds.
  3. ESXi-Hypervisor-Berechtigungsaktualisierung (das Zuweisen anderer Gruppen-Admin-Berechtigungen entfernt sie nicht aus der „ESX Admins“-Gruppe).

Ausnutzung in Black Basta und Akira Ransomware-Angriffen

Die Schwachstelle wurde bereits in freier Wildbahn von Ransomware-Operatoren wie Storm-0506, Storm-1175, Octo Tempest und Manatee Tempest in Angriffen ausgenutzt, die zur Bereitstellung von Akira und Black Basta Ransomware führten.

Beispielsweise setzte Storm-0506 Black Basta Ransomware auf den ESXi-Hypervisoren eines nordamerikanischen Ingenieurbüros ein, nachdem sie durch Ausnutzung der CVE-2024-37085-Schwachstelle ihre Privilegien erhöht hatten.

„Der Bedrohungsakteur erlangte zunächst über eine Qakbot-Infektion Zugang zur Organisation und nutzte dann eine Windows-CLFS-Schwachstelle (CVE-2023-28252) aus, um seine Privilegien auf den betroffenen Geräten zu erhöhen“, berichtet Microsoft.

„Der Bedrohungsakteur verwendete dann Cobalt Strike und Pypykatz (eine Python-Version von Mimikatz), um die Anmeldeinformationen von zwei Domänenadministratoren zu stehlen und sich lateral zu vier Domänencontrollern zu bewegen.“

Zunehmende Angriffe auf ESXi-Hypervisoren

Seit Jahren gibt es einen zunehmenden Trend, die ESXi-Hypervisoren von Organisationen zu attackieren. Ransomware-Gruppen haben begonnen, sich auf ESXi-virtuelle Maschinen (VMs) zu konzentrieren, nachdem viele Unternehmen sie zur Ausführung kritischer Anwendungen und zur Speicherung von Daten nutzen.

Dies geschieht, weil das Herunterfahren von ESXi-VMs zu erheblichen Ausfällen und Betriebsunterbrechungen führen kann, während das Verschlüsseln von Dateien und Backups auf dem Hypervisor die Möglichkeiten der Opfer, ihre Daten wiederherzustellen, erheblich einschränkt.

Die Play Ransomware-Gruppe ist die neueste Operation, die begonnen hat, einen ESXi Linux Locker in ihren Angriffen einzusetzen.

„Die Anzahl der Microsoft Incident Response (Microsoft IR) Engagements, die das Zielen und Beeinträchtigen von ESXi-Hypervisoren beinhalteten, hat sich in den letzten drei Jahren mehr als verdoppelt“, warnt Microsoft.

Diese Warnung von Microsoft unterstreicht die Notwendigkeit, ESXi-Installationen regelmäßig zu aktualisieren und gegen solche Schwachstellen zu schützen, um schwerwiegende Sicherheitsvorfälle zu vermeiden.