微软称勒索软件团伙利用刚刚修补的 VMware ESXi 漏洞

VMware 为 ESXi 虚拟机管理程序中的一个严重漏洞发布补丁后不到一周，微软威胁情报团队表示，勒索软件团体正在利用该漏洞获取加入域的系统的完全管理访问权限。

根据微软威胁情报团队的最新警告，该漏洞编号为 CVE-2024-37085，CVSS 严重性评分为 6.8，已被多个已知勒索软件组织滥用，在企业网络上部署数据勒索恶意软件。

VMware 上周发布补丁和解决方法时并未提及野外攻击，同时警告黑客可能利用该漏洞获取对 ESXi 主机未经授权的访问和控制。

VMware 表示：“VMware ESXi 包含身份验证绕过漏洞。VMware 已评估此问题的严重性，将其评为中等严重性范围。”“具有足够 Active Directory (AD) 权限的攻击者可以通过在从 AD 中删除配置的 AD 组（默认情况下为“ESXi 管理员”）后重新创建该组，获得对之前配置为使用 AD 进行用户管理的 ESXi 主机的完全访问权限。”

该公司推出了针对 ESXi 8.0 和 VMware Cloud Foundation 5.x 的补丁，但没有计划推出针对 ESXi 7.0 和 VMware Cloud Foundation 4.x 的补丁。

微软报告（https://www.microsoft.com/en-us/security/blog/2024/07/29/ransomware-operators-exploit-esxi-hypervisor-vulnerability-for-mass-encryption/）称，Storm-0506、Storm-1175 和 Octo Tempest 等知名网络犯罪集团已经利用此 VMware ESXi 漏洞部署勒索软件。

微软表示：“过去三年中，针对并影响 ESXi 虚拟机管理程序的微软事件响应 (Microsoft IR) 活动的数量增加了一倍以上。”

在一个记录在案的案例中，微软表示北美一家工程公司受到了 Black Basta 勒索软件部署的影响，其中包括使用 CVE-2024-37085 漏洞来获取组织内 ESXi 虚拟机管理程序的提升权限。

该公司警告称：“微软发现威胁行为者在域中创建了‘ESX Admins’组并向其中添加了一个新用户帐户……[此]攻击导致 ESXi 文件系统被加密，并导致 ESXi 管理程序上托管的虚拟机失去功能。”

参考链接：

https://www.securityweek.com/microsoft-says-ransomware-gangs-exploiting-just-patched-vmware-esxi-flaw/

讲述普通人能听懂的安全故事