CVE-2024-37085: Ransomware-Betreiber nutzen VMware ESXi-Hypervisor-Schwachstelle zur Massenverschlüsselung

Microsoft-Forscher haben eine Schwachstelle in ESXi-Hypervisoren entdeckt, die von mehreren Ransomware-Betreibern ausgenutzt wird, um volle Administratorrechte für domänengebundene ESXi-Hypervisoren zu erhalten. Die Schwachstelle mit der Bezeichnung CVE-2024-37085 betrifft eine Domänengruppe, deren Mitglieder standardmäßig ohne ordnungsgemäße Überprüfung vollen Administratorzugriff auf den ESXi-Hypervisor erhalten.

Details zur Sicherheitsanfälligkeit

CVE-2024-37085 ist eine Sicherheitslücke zur Umgehung der Authentifizierung mit einem CVSS-Score von 6,8. Sie ermöglicht es Angreifern mit ausreichenden Active Directory-Berechtigungen (AD), die volle Kontrolle über einen ESXi-Host zu erlangen, der zuvor für die Verwendung von AD zur Benutzerverwaltung eingerichtet wurde. VMware ESXi-Hypervisoren, die einer Active Directory-Domäne beigetreten sind, gewähren jedem Mitglied einer Domänengruppe namens „ESX Admins“ automatisch vollen Administratorzugriff, wodurch CVE-2024-37085 leicht auszunutzen ist.

Microsoft-Forscher liefern drei mögliche Methoden zur Ausnutzung von CVE-2024-37085:

1. *Erstellen einer Domänengruppe: Angreifer können eine Domänengruppe mit dem Namen „ESX Admins“ erstellen und sich selbst oder andere dieser hinzufügen.

2. *Umbenennen einer vorhandenen Gruppe: Vorhandene Domänengruppen können in „ESX-Administratoren“ umbenannt werden, sodass Angreifer Benutzer hinzufügen können.

3. *Aktualisieren der Hypervisor-Berechtigungen: Angreifer können die ESXi-Hypervisor-Berechtigungen aktualisieren, um die Schwachstelle auszunutzen.

Ausnutzung durch Ransomware-Gruppen

CVE-2024-37085 wurde von verschiedenen Ransomware-Gruppen, darunter Storm-0506, Storm-1175, Octo Tempest und Manatee Tempest, aktiv ausgenutzt, um die Ransomware Akira und Black Basta einzusetzen. Microsoft berichtete, dass diese Gruppen eine Post-Compromise-Technik verwenden, die es ihnen ermöglicht, vollen administrativen Zugriff auf die ESXi-Hypervisoren zu erhalten, wodurch sie das Dateisystem des Hypervisors verschlüsseln und die Funktionalität der gehosteten Server stören können.

So wurde die Schwachstelle beispielsweise bei einem kürzlich von Rapid7 beschriebenen Vorfall bei Zero-Day-Angriffen entdeckt. Dabei zeigte sich, dass sie von mindestens einem halben Dutzend Ransomware-Angriffen zur Verschlüsselung nachgelagerter Dateisysteme genutzt wurde. Die Ausnutzung von CVE-2024-37085 ermöglicht Angreifern den Zugriff auf gehostete virtuelle Maschinen (VMs) und erleichtert die Datenexfiltration und laterale Bewegung innerhalb des Netzwerks, was die Auswirkungen des Angriffs noch verschärft[4][5].

Anfällige Produkte

Die folgenden Produkte und Versionen sind anfällig für CVE-2024-37085:

– VMware ESXi 8.0 (behoben in ESXi80U3-24022510)

– VMware ESXi 7.0 (kein Patch geplant)

– VMware Cloud Foundation 5.x (behoben in 5.2)

– VMware Cloud Foundation 4.x (kein Patch geplant)

Leitlinien zur Risikominderung

Organisationen, die domänengebundene ESXi-Hypervisoren verwenden, wird empfohlen, die von VMware veröffentlichten Sicherheitsupdates zur Behebung von CVE-2024-37085 anzuwenden. Darüber hinaus sollten sie die folgenden Best Practices berücksichtigen, um ihre Sicherheitslage zu verbessern:

- *Internetexposition begrenzen: ESXi-Server sollten niemals dem öffentlichen Internet ausgesetzt werden, um das Risiko eines Erstzugriffs zu verringern.

- *Implementieren Sie Workarounds: Wenn sofortige Updates nicht möglich sind, sollten Organisationen die Workaround-Empfehlungen aus der Empfehlung von Broadcom implementieren.

- *Anmeldeinformationshygiene: Befolgen Sie die Best Practices zur Anmeldeinformationsverwaltung, um das Risiko eines unbefugten Zugriffs zu minimieren.

- *Regelmäßiges Scannen: Führen Sie authentifizierte Scans von Netzwerkgeräten durch, um potenzielle Schwachstellen und blinde Flecken zu identifizieren.

Durch Anwenden der erforderlichen Patches und Befolgen bewährter Methoden können Unternehmen die mit CVE-2024-37085 verbundenen Risiken mindern und ihre kritische Infrastruktur vor Ransomware-Angriffen schützen, die diese Schwachstelle ausnutzen.

Zitate:

[1] https://nvd.nist.gov/vuln/detail/CVE-2024-37085

[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-37085

Trending

19. Juli: Die Welt blieb offline & Lösung

HackTheDrone CTF-Qualifikation - Sa., 07. Sept. 2024,

19. Juli: Die Welt blieb offline & Lösung

Die Airflow-Sicherheitslücke: Eine Geschichte über Vorsicht und Wachsamkeit

Aptos Code Kollision CTF 2024 - Fr, 26. Juli 2024

Schwachstellen in der Dell SmartFabric OS10-Software CVE-2024-39585, CVE-2024-38486

Centreon Web-Sicherheitslücken: CVE-2024-39841, CVE-2024-33854, CVE-2024-33853, CVE-2024-33852, CVE-2024-32501

CVE-2024-37085: Ransomware-Betreiber nutzen VMware ESXi-Hypervisor-Schwachstelle zur Massenverschlüsselung

CVE-2024-37085: Ransomware-Betreiber nutzen VMware ESXi-Hypervisor-Schwachstelle zur Massenverschlüsselung

Details zur Sicherheitsanfälligkeit

Microsoft-Forscher liefern drei mögliche Methoden zur Ausnutzung von CVE-2024-37085:

Ausnutzung durch Ransomware-Gruppen

Anfällige Produkte

Leitlinien zur Risikominderung

Kommentar veröffentlichen

İletişim Formu