Microsoft заявляет, что группы вирусов-вымогателей используют недавно исправленную уязвимость VMware ESXi

На прошлой неделе компания VMware устранила уязвимость в гипервизоре ESXi, однако Microsoft сообщила, что ею уже воспользовались группы вирусов-вымогателей для получения административных разрешений.

VMware ESXi — это гипервизор без операционной системы, который позволяет создавать виртуальные машины и управлять ими непосредственно на серверном оборудовании, включая критически важные серверы. CVE-2024-37085 — это уязвимость обхода аутентификации, которая позволяет злоумышленникам с достаточными разрешениями получить полный доступ к хосту ESXi, присоединенному к домену.

Проблема возникает, когда настроенная группа Active Directory удаляется и создается заново, так как любой пользователь, добавленный в новую группу с именем «ESX Admins», будет иметь права администратора по умолчанию. Группу домена можно просто переименовать в «ESX Admins», и все новые или существующие члены будут иметь права администратора.

Но для эксплуатации CVE-2024-37085 хакеру необходим привилегированный доступ к среде Active Directory, который должен быть получен в результате ранее успешной кибератаки. Организация также должна присоединить свой хост ESXi к Active Directory для целей управления пользователями, что многие делают для удобства.

Broadcom, владелец VMware, выпустил несколько исправлений для затронутых устройств в период с 25 июня по 25 июля. Уязвимость затрагивает ESXi версий 7.0 и 8.0 и VMware Cloud Foundation версий 4.x и 5.x., но исправления были выпущены только для ESXi 8.0 и VMware Cloud Foundation 5.x. Она имеет относительно низкую оценку серьезности CVSS — 6,8.

Однако 29 июля группа Microsoft Threat Intelligence опубликовала отчет, в котором утверждается, что CVE-2024-37085 эксплуатировалась такими группами программ-вымогателей, как Storm-0506, Storm-1175, Octo Tempest и Manatee Tempest, и привела к развертываниям программ-вымогателей Akira и Black Basta. Такие эксплуатационные инциденты in the wild не упоминались в рекомендациях Broadcom.

СМ.: Вирус-вымогатель Black Basta атаковал более 500 организаций по всему миру

Microsoft заявила: «В случае атаки с использованием программ-вымогателей наличие полных административных прав на гипервизоре ESXi может означать, что злоумышленник может зашифровать файловую систему, что может повлиять на возможность запуска и функционирования размещенных серверов. Это также позволяет злоумышленнику получить доступ к размещенным виртуальным машинам и, возможно, извлечь данные или перемещаться по сети».

Как злоумышленники использовали CVE-2024-37085

Уязвимость CVE-2024-37085 возникает из-за гипервизоров ESXi, присоединенных к домену Active Directory, которые автоматически предоставляют полный административный доступ любому члену группы домена с именем «ESX Admins».

Такая группа не существует по умолчанию, но киберпреступники могут легко создать ее с помощью команды «net group ‘ESX Admins’ /domain /add». Членство в этой группе также определяется именем, а не идентификатором безопасности (SID), поэтому добавление члена также является тривиальной задачей.

«Любой пользователь домена, имеющий возможность создать группу, может повысить привилегии до полного административного доступа к гипервизорам ESXi, присоединенным к домену, создав такую ​​группу, а затем добавив в нее себя или других пользователей, находящихся под его контролем», — пишут исследователи Microsoft.

По данным Microsoft, киберпреступники могут воспользоваться уязвимостью CVE-2024-37085, выполнив одно из следующих действий:

Создание группы Active Directory с именем «ESX Admins» и добавление в нее пользователя. Это единственный метод, который, как было замечено, используется в реальной жизни. Переименование любой группы в домене в «ESX Admins» и добавление пользователя в группу или использование существующего члена группы. Использование того факта, что даже если администратор сети назначает другую группу в домене для управления ESXi, члены «ESXi Admins» все равно сохраняют свои права администратора в течение определенного периода времени.

Microsoft заявляет, что количество операций по реагированию на инциденты, связанных с нацеливанием и воздействием на гипервизоры ESXi, за последние три года более чем удвоилось. Это говорит о том, что они стали популярными целями, поскольку многие продукты безопасности имеют ограниченную видимость и защиту для гипервизора ESXi, а их файловые системы позволяют осуществлять массовое шифрование одним щелчком мыши.

С 2021 года ряд групп, предлагающих программы-вымогатели как услугу, разработали вредоносное ПО, специфичное для ESXi, включая Royal, Play, Cheers и TargetCompany.

СМОТРИ: Шпаргалка по программам-вымогателям: все, что вам нужно знать в 2024 году

Ранее в этом году Storm-0506 попытался внедрить программу-вымогатель Black Basta в систему неназванной североамериканской инжиниринговой компании, используя уязвимость CVE-2024-37085. Группа получила начальный доступ через заражение Qakbot, а затем использовала уязвимость повышения привилегий Windows CLFS. Затем хакеры использовали инструмент Pypykatz для кражи учетных данных контроллеров домена, прежде чем предпринять другие меры для установления постоянного доступа.

Наконец, группа использовала уязвимость CVE-2024-37085 для получения повышенных привилегий для гипервизоров ESXi. Microsoft заметила, что злоумышленник создал группу «Администраторы ESX» и добавил в нее нового пользователя, прежде чем зашифровать файловую систему ESXi и захватить виртуальные машины, размещенные на гипервизоре ESXi.

Рекомендации для операторов VMware ESXi

Установите последние обновления программного обеспечения, выпущенные VMWare, на все гипервизоры ESXi, присоединенные к домену. Используйте надлежащую гигиену учетных данных, чтобы предотвратить доступ злоумышленников к привилегированной учетной записи, необходимой для эксплуатации CV-2024-37085. Используйте многофакторную аутентификацию, методы аутентификации без пароля и приложения-аутентификаторы, а также изолируйте привилегированные учетные записи от учетных записей производительности. Определите критически важные активы, такие как гипервизоры ESXi и vCenters, и убедитесь, что у них есть последние обновления безопасности, надлежащие процедуры мониторинга и планы резервного копирования и восстановления. Определите уязвимости в сетевых устройствах путем сканирования с использованием SNMP и получите рекомендации по безопасности.