![微软:勒索软件团伙利用 VMware ESXi 身份验证绕过发起攻击]( "微软:勒索软件团伙利用 VMware ESXi 身份验证绕过发起攻击")
微软今天警告称,勒索软件团伙正在积极利用 VMware ESXi 身份验证绕过漏洞进行攻击。
该漏洞编号为 CVE-2024-37085,属于中等严重程度的安全漏洞,由微软安全研究人员 Edan Zwick、Danielle Kuznets Nohi 和 Meitar Pinto 发现,并于 6 月 25 日发布 ESXi 8.0 U3 时修复。
该漏洞使攻击者能够将新用户添加到他们创建的“ESX 管理员”组中,该用户将自动被分配 ESXi 管理程序的完全管理权限。
Broadcom 解释说:“具有足够 Active Directory (AD) 权限的攻击者可以在从 AD 中删除已配置的 AD 组(默认情况下为'ESXi [ sic ] Admins')后重新创建该组,从而获得对之前配置为使用 AD 进行用户管理的 ESXi 主机的完全访问权限。”
多个 ESXi 高级设置的默认值在默认情况下并不安全。当 ESXi 主机加入 Active Directory 域时,AD 组“ESX 管理员”会自动获得 VIM 管理员角色。”
虽然成功的攻击需要对目标设备和用户交互具有很高的权限,但微软表示,有几个勒索软件团伙利用这一点来升级到加入域的虚拟机管理程序的完全管理员权限。
这使得他们能够窃取托管虚拟机上存储的敏感数据、通过受害者的网络横向移动并加密 ESXi 虚拟机管理程序的文件系统。
微软已经确定了至少三种可用于利用 CVE-2024-37085 漏洞的策略,包括:
-
-
将域中的任何组重命名为“ESX 管理员”,并将用户添加到该组或使用现有组成员。
-
ESXi 虚拟机管理程序权限刷新(分配其他组管理员权限不会将其从“ESX 管理员”组中删除)。
在 Black Basta 和 Akira 勒索软件攻击中被利用
到目前为止,该漏洞已被追踪为 Storm-0506、Storm-1175、Octo Tempest 和 Manatee Tempest 的勒索软件运营商在野外利用,并导致了 Akira 和 Black Basta 勒索软件的部署。
例如,Storm-0506 利用 CVE-2024-37085 漏洞提升权限后,在北美一家工程公司的 ESXi 虚拟机管理程序上部署了 Black Basta 勒索软件。
雷德蒙德表示:“攻击者通过 Qakbot 感染获得了对该组织的初步访问权限,随后利用 Windows CLFS 漏洞 (CVE-2023-28252) 来提升他们在受影响设备上的权限。”
“然后,攻击者使用 Cobalt Strike 和 Pypykatz(Mimikatz 的 Python 版本)窃取两个域管理员的凭据并横向移动到四个域控制器。”
![微软:勒索软件团伙利用 VMware ESXi 身份验证绕过发起攻击]( "微软:勒索软件团伙利用 VMware ESXi 身份验证绕过发起攻击")
多年来,针对组织 ESXi 虚拟机管理程序的攻击趋势日益增长。由于 ESXi 虚拟机 (VM) 具有高效的资源处理能力,许多企业开始使用它们来托管关键应用程序和存储数据,因此勒索软件组织开始将目标锁定在它们身上。
发生这种情况的原因是,关闭 ESXi VM 可能会导致严重中断并扰乱业务运营,同时加密存储在虚拟机管理程序上的文件和备份,严重限制受害者恢复数据的选项。
然而,勒索软件团体专注于创建专用于加密虚拟机的储物柜,而不是针对特定的 ESXi 漏洞(如 CVE-2024-37085),这将为他们提供更快获取和维持对受害者虚拟机管理程序的访问权限的方法。
Play 勒索软件组织是最新一个在攻击中开始部署ESXi Linux 锁的组织。
微软警告称:“过去三年中,针对并影响 ESXi 虚拟机管理程序的微软事件响应 (Microsoft IR) 活动的数量增加了一倍以上。”
信息来源:BleepingComputer
原文始发于微信公众号(犀牛安全):微软:勒索软件团伙利用 VMware ESXi 身份验证绕过发起攻击
评论