勒索软件团伙利用最近修补的 VMware ESXi 漏洞 CVE-2024-37085

微软研究人员警告称，多个勒索软件团伙正在利用VMware ESXi中的一个最近修补的漏洞CVE-2024-37085（CVSS评分为6.8）。

“微软研究人员发现，ESXi虚拟机监控程序中存在一个漏洞，多个勒索软件运营商正在利用该漏洞来获取加入域的ESXi虚拟机监控程序上的完全管理员权限。”微软发出警告。

该漏洞是VMware ESXi中的一个身份验证绕过漏洞。

虚拟化巨头发布的公告指出：“拥有足够Active Directory（AD）权限的恶意攻击者可以在AD中重新创建已配置的AD组（默认为‘ESXi Admins’）后，获得对之前配置为使用AD进行用户管理的ESXi主机的完全访问权限，即使该组已从AD中删除。”

该公司发布了针对ESXi 8.0和VMware Cloud Foundation 5.x中安全漏洞的补丁。但是，对于旧版本ESXi 7.0和VMware Cloud Foundation 4.x，则没有计划发布补丁。建议不受支持版本的用户升级到新版本，以便接收安全更新和支持。

微软报告称，Storm-0506、Storm-1175和Octo Tempest等多个具有财务动机的团伙已经利用此漏洞来部署勒索软件。

“微软安全研究人员发现，Storm-0506、Storm-1175、Octo Tempest和Manatee Tempest等勒索软件运营商在多次攻击中采用了一种新的入侵后技术。”微软继续说道，“在几起案件中，使用这种技术导致了Akira和Black Basta勒索软件的部署。”

今年早些时候，Storm-0506团伙入侵了一家北美工程公司，并利用CVE-2024-37085漏洞获得了对ESXi虚拟机监控程序的更高权限，从而部署了Black Basta勒索软件。

“威胁行为者首先通过Qakbot感染进入该组织，然后利用Windows CLFS漏洞（CVE-2023-28252）提升其在受影响设备上的权限。之后，威胁行为者使用Cobalt Strike和Pypykatz（Mimikatz的Python版本）窃取了两名域管理员的凭据，并横向移动到四个域控制器。”微软继续说道。

攻击者在域中创建了“ESX Admins”组，并向其中添加了一个新用户帐户。威胁行为者加密了ESXi文件系统，导致ESXi虚拟机监控程序上托管的虚拟机功能丧失。

原文始发于微信公众号（黑猫安全）：勒索软件团伙利用最近修补的 VMware ESXi 漏洞 CVE-2024-37085