Microsoft 发现了 ESXi 虚拟机管理程序中的一个漏洞（编号为CVE - 2024 - 37085 ） 威胁行为者利用

微软研究人员发现，ESXi 虚拟机管理程序中存在一个漏洞，该漏洞被多个勒索软件操作员利用，以获取对加入域的 ESXi 虚拟机管理程序的完全管理权限。ESXi 是一种裸机虚拟机管理程序，可直接安装在物理服务器上，并提供对底层资源的直接访问和控制。ESXi 虚拟机管理程序托管的虚拟机可能包括网络中的关键服务器。在勒索软件攻击中，拥有 ESXi 虚拟机管理程序的完全管理权限可能意味着威胁行为者可以加密文件系统，这可能会影响托管服务器的运行和功能。它还允许威胁行为者访问托管的虚拟机，并可能泄露数据或在网络内横向移动。

该漏洞被标识为 CVE-2024-37085，涉及一个域组，该组的成员在未经适当验证的情况下默认被授予对 ESXi 虚拟机管理程序的完全管理访问权限。Microsoft 通过Microsoft 安全漏洞研究(MSVR)的协调漏洞披露(CVD)向 VMware 披露了这一发现，VMWare 发布了安全更新。Microsoft 建议 ESXi 服务器管理员应用 VMware 发布的更新来保护他们的服务器免受相关攻击，并遵循我们在此博客文章中提供的缓解和保护指南。我们感谢 VMWare 在解决此问题方面给予的合作。

这篇博文介绍了 CVE-2024-37085 的分析，以及 Microsoft 观察到的利用该漏洞的攻击的详细信息。我们分享这项研究是为了强调研究人员、供应商和安全社区之间的合作对于不断推进更大生态系统的防御的重要性。作为 Microsoft 致力于提高所有人的安全性的一部分，我们将继续分享情报并与安全社区合作，帮助保护跨平台的用户和组织。

CVE-2024-37085漏洞分析

微软安全研究人员发现，勒索软件运营商（如 Storm-0506、Storm-1175、Octo Tempest 和 Manatee Tempest）在多次攻击中都使用了一种新的入侵后技术。在几起案件中，这种技术的使用导致了 Akira 和 Black Basta 勒索软件的部署。该技术包括运行以下命令，从而导致在域中创建一个名为“ESX Admins”的组并向其中添加用户：

net group “ESX Admins” /domain /addnet group “ESX Admins” username /domain /add

在调查这些攻击和所述行为时，微软研究人员发现威胁行为者使用此命令的目的是利用域加入的 ESXi 虚拟机管理程序中的漏洞，该漏洞允许威胁行为者将其权限提升到 ESXi 虚拟机管理程序上的完全管理访问权限。这一发现是在今年早些时候向 VMware 披露漏洞时报告的。

对该漏洞的进一步分析表明，加入 Active Directory 域的 VMware ESXi 虚拟机管理程序默认认为名为“ESX Admins”的域组的任何成员都具有完全管理访问权限。此组不是 Active Directory 中的内置组，默认情况下不存在。当服务器加入域时，ESXi 虚拟机管理程序不会验证此类组是否存在，并且仍然将具有此名称的组的任何成员视为具有完全管理访问权限，即使该组最初不存在。此外，组中的成员身份由名称而不是安全标识符 (SID) 确定。

微软研究人员确定了三种利用此漏洞的方法：

1. 将“ESX 管理员”组添加到域并向其中添加用户——上述威胁行为者在野外积极利用这种方法。在此方法中，如果“ESX 管理员”组不存在，则任何具有创建组能力的域用户都可以升级权限，以完全访问加入域的 ESXi 虚拟机管理程序，方法是创建此类组，然后将自己或其控制的其他用户添加到该组。

2. 将域中的任何组重命名为“ESX 管理员”，并将用户添加到该组或使用现有组成员- 此方法与第一种方法类似，但在这种情况下，威胁行为者需要一个能够重命名某些任意组并将其中一个重命名为“ESX 管理员”的用户。然后，威胁行为者可以添加用户或使用组中已存在的用户，以将权限升级为完全管理访问权限。Microsoft 尚未在野外观察到这种方法。

3. ESXi 虚拟机管理程序权限刷新- 即使网络管理员将域中的任何其他组指定为 ESXi 虚拟机管理程序的管理组，“ESX 管理员”组成员的完整管理权限不会立即被删除，威胁行为者仍可能滥用它。Microsoft 尚未在野外观察到这种方法。

成功利用该漏洞可获得对 ESXi 虚拟机管理程序的完全管理访问权限，从而使威胁行为者能够加密虚拟机管理程序的文件系统，从而影响托管服务器的运行和功能。它还允许威胁行为者访问托管虚拟机，并可能窃取数据或在网络内横向移动。

针对 ESXi 虚拟机管理程序的勒索软件运营商

在过去的一年里，我们发现勒索软件攻击行为者将目标锁定在 ESXi 虚拟机管理程序上，只需点击几下鼠标即可实现大规模加密影响，这表明勒索软件运营商不断创新其攻击技术，以增加对目标组织的影响。

ESXi 是许多企业网络中的热门产品，近年来，我们观察到 ESXi 虚拟机管理程序成为威胁行为者的首选目标。如果勒索软件运营商希望避开 SOC 的监控，这些虚拟机管理程序可能成为方便的目标，原因如下：

1. 许多安全产品对 ESXi 虚拟机管理程序的可见性和保护有限。

2. 加密 ESXi 虚拟机管理程序文件系统允许一键式大规模加密，因为托管的虚拟机会受到影响。这可能会为勒索软件操作员提供更多时间和复杂性，以便在他们访问的每个设备上进行横向移动和凭据盗窃。

因此，许多勒索软件威胁行为者（如 Storm-0506、Storm-1175、Octo Tempest、Manatee Tempest 等）都支持或销售 ESXi 加密器，如 Akira、Black Basta、Babuk、Lockbit 和 Kuiper（图 1）。在过去三年中，涉及针对和影响 ESXi 虚拟机管理程序的 Microsoft 事件响应 (Microsoft IR) 活动的数量增加了一倍以上。

图 1. 暗网上出售的 ESXi 未经身份验证的 shell

Storm-0506 Black Basta 勒索软件部署

今年早些时候，北美一家工程公司受到 Storm-0506 部署的 Black Basta 勒索软件的影响。在这次攻击中，威胁行为者利用 CVE-2024-37085 漏洞获得了组织内 ESXi 虚拟机管理程序的提升权限。

威胁行为者最初通过 Qakbot 感染获得对该组织的访问权限，随后利用 Windows CLFS 漏洞 (CVE-2023-28252) 提升其在受影响设备上的权限。然后，威胁行为者使用 Cobalt Strike 和 Pypykatz（Mimikatz 的 Python 版本）窃取了两个域管理员的凭据，并横向移动到四个域控制器。

在被攻陷的域控制器上，威胁行为者使用自定义工具和 SystemBC 植入程序安装了持久性机制。还观察到该行为者试图强行将远程桌面协议 (RDP) 连接到多个设备，作为横向移动的另一种方法，然后再次安装 Cobalt Strike 和 SystemBC。然后，威胁行为者试图使用各种工具篡改 Microsoft Defender Antivirus 以避免被发现。

Microsoft 观察到威胁行为者在域中创建了“ESX Admins”组并向其中添加了一个新用户帐户，在执行这些操作后，Microsoft 观察到此攻击导致 ESXi 文件系统加密并导致 ESXi 虚拟机管理程序上托管的虚拟机失去功能。还观察到威胁行为者使用 PsExec 加密未托管在 ESXi 虚拟机管理程序上的设备。Microsoft Defender Antivirus 和 Microsoft Defender for Endpoint 中的自动攻击中断功能能够阻止安装了Defender for Endpoint 统一代理的设备中的这些加密尝试。

图2. Storm-0506攻击链

缓解和保护指导

Microsoft 建议使用域加入 ESXi 虚拟机管理程序的组织应用 VMware 发布的安全更新来解决 CVE-2024-37085。以下准则也将帮助组织保护其网络免受攻击：

安装软件更新– 确保在所有加入域的 ESXi 虚拟机管理程序上安装VMware 发布的最新安全更新。如果无法安装软件更新，可以使用以下建议来降低风险：

• 验证组“ESX Admins”是否存在于域中并且已得到强化。

• 通过更改 ESXi 虚拟机管理程序本身的设置来手动拒绝此组的访问。如果不需要 Active Directory ESX 管理员组的完全管理员访问权限，则可以使用高级主机设置“Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd”禁用此行为。

• 将管理组更改为 ESXi 虚拟机管理程序中的其他组。

• 在 XDR/SIEM 中为新组名添加自定义检测。  

• 配置将 ESXi 日志发送到 SIEM 系统并监控可疑的完全管理访问。

凭证- 为了利用不同的漏洞方法，威胁行为者需要控制组织中的高权限用户。因此，我们的建议是确保保护组织中的高权限帐户，尤其是那些可以管理其他域组的帐户：

• 在所有帐户上强制实施多因素身份验证 (MFA)，删除从 MFA 中排除的用户，并严格要求所有设备、所有位置始终使用 MFA。

• 为支持无密码的帐户启用无密码身份验证方法（例如 Windows Hello、FIDO 密钥或 Microsoft Authenticator）。对于仍需要密码的帐户，请使用身份验证器应用（例如 Microsoft Authenticator for MFA）。请参阅 本文 了解不同的身份验证方法和功能。

• 将特权帐户与生产力帐户隔离，以保护对环境的管理访问。请参阅本文以了解最佳做法。

• 改善关键资产状况– 识别网络中的关键资产，例如 ESXi 虚拟机管理程序和 vCenter（用于控制 VMware vSphere 环境的集中式平台），并确保使用最新的安全更新、适当的监控程序以及备份和恢复计划保护它们。更多信息可在以下文章中找到https://techcommunity.microsoft.com/t5/security-compliance-and-identity/critical-asset-protection-with-microsoft-security-exposure/ba-p/4122645。

• 识别易受攻击的资产– 通过Microsoft Defender门户使用 SNMP 部署经过身份验证的网络设备扫描，以识别 ESXi 等网络设备中的漏洞并接收安全建议。

Microsoft Defender XDR 检测

适用于端点的 Microsoft Defender     

以下 Microsoft Defender for Endpoint 警报可以指示相关威胁活动：

• 对 ESX Admins 组的可疑修改

以下警报也可能表明与此威胁相关的威胁活动。但请注意，这些警报也可能由不相关的威胁活动触发。

• 可疑的新群组添加

• 可疑的 Windows 帐户操纵

• 被盗账户实施键盘攻击

Microsoft Defender for Identity

以下 Microsoft Defender for Identity 警报可以指示相关威胁活动：

• 可疑的 ESX 组创建

威胁情报报告

Microsoft 客户可以使用 Microsoft Defender Threat Intelligence 中的以下报告来获取有关本博客中讨论的威胁行为者、恶意活动和技术的最新信息。这些报告提供情报、保护信息和建议的措施，以防止、缓解或应对在客户环境中发现的相关威胁：

Storm-0506https://security.microsoft.com/intel-profiles/ffe489b3f6c378d8a86f821af0f53814e8d5c7630fc041273972d9b824ef0312Storm-1175https://security.microsoft.com/intel-profiles/5b27d7d5d327dcf79270601aac97d735449f7463a8cb0d06d3f117d4c29cdb83Octo Tempest https://security.microsoft.com/intel-profiles/205381037ed05d275251862061dd923309ac9ecdc2a9951d7c344d890a61101aManatee Tempesthttps://security.microsoft.com/intel-profiles/1b66d1619b5365957ba8c785bfd7936bfa9cf8b58ad9f55b7987f7f3b390f4fcAkirahttps://security.microsoft.com/intel-profiles/eb747f064dc5702e50e28b63e4c74ae2e6ae19ad7de416902e998677b4ad72ffBlack Bastahttps://security.microsoft.com/intel-profiles/0146164ed5ffa131074fa7e985f779597d2522865baa088f25cd80c3bed8d726

狩猎查询

Microsoft Defender XDR

Microsoft Defender XDR 客户可以运行以下查询来查找其网络中的相关活动

此查询识别组织中的 ESXi 虚拟机管理程序：

DeviceInfo| where OSDistribution =~ "ESXi"| summarize arg_max(Timestamp, *) by DeviceId

此查询识别活动目录中的 ESX 管理员组更改：

IdentityDirectoryEvents| where Timestamp >= ago(30d)| where AdditionalFields has ('esx admins')

以下查询用于使用 Microsoft Defender 漏洞管理信息评估已发现的 ESXi：

DeviceInfo| where OSDistribution =~ "ESXi"| summarize arg_max(Timestamp, *) by DeviceId| join kind=inner (DeviceTvmSoftwareVulnerabilities) on DeviceIdDeviceInfo| where OSDistribution =~ "ESXi"| summarize arg_max(Timestamp, *) by DeviceId| join kind=inner (DeviceTvmSecureConfigurationAssessment) on DeviceId

微软哨兵

Microsoft Sentinel 客户可以使用 TI Mapping 分析（一系列以“TI map”为前缀的分析）自动将本博客文章中提到的恶意域指标与其工作区中的数据进行匹配。如果当前未部署 TI Map 分析，客户可以从Microsoft Sentinel Content Hub安装威胁情报解决方案，以将分析规则部署在其 Sentinel 工作区中。

Microsoft Sentinel 还在 Sentinel GitHub repo 中或作为 Sentinel 解决方案的一部分提供了一系列搜索查询，客户可以使用这些查询来检测本博客中详述的活动以及 Microsoft Defender 检测。这些搜索查询包括以下内容：

Qakbot：

Qakbot 狩猎查询https://github.com/Azure/Azure-Sentinel/tree/master/Hunting%20Queries/Microsoft%20365%20Defender/Campaigns/Qakbot

Cobalt Strike：

Cobalt Strike DNS 信标https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Attacker%20Tools%20Threat%20Protection%20Essentials/Hunting%20Queries/CobaltDNSBeacon.yaml与 Cobalt Strike 相关的潜在勒索软件活动https://github.com/Azure/Azure-Sentinel/blob/master/Hunting%20Queries/Microsoft%20365%20Defender/Ransomware/Potential%20ransomware%20activity%20related%20to%20Cobalt%20Strike.yaml可疑的命名管道https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/FalconFriday/Analytic%20Rules/SuspiciousNamedPipes.yaml使用 WMI 调用 Cobalt Strikehttps://github.com/Azure/Azure-Sentinel/blob/master/Hunting%20Queries/Microsoft%20365%20Defender/Campaigns/cobalt-strike-invoked-w-wmi.yaml

参考：

• https://knowledge.broadcom.com/external/article?legacyId=1025569

• https://core.vmware.com/vmware-vsphere-8-security-configuration-guide

• https://blogs.vmware.com/vsphere/2012/09/joining-vsphere-hosts-to-active-directory.html

• https://blogs.vmware.com/security/2022/09/esxi-targeting-ransomware-the-threats-that-are-after-your-virtual-machines-part-1.html

• https://www.sygnia.co/blog/esxi-ransomware-attacks/?blaid=6088911https://news.sophos.com/en-us/2023/12/21/akira-again-the-ransomware-that-keeps-on-taking/

• https://www.darkreading.com/cloud-security/agenda-ransomware-vmware-esxi-servers

• https://blog.checkpoint.com/2023/02/06/massive-ransomware-attack-targets-vmware-esxi-servers/amp/

• https://www.bleepingcomputer.com/news/security/massive-esxiargs-ransomware-attack-targets-vmware-esxi-servers-worldwide/amp/