CVE-2024-37085 – VMware EXSi
Aktie
Am 30. Juli veröffentlichte Microsoft in seinem Threat-Intelligence-Blog einen Artikel, in dem er vor der Entdeckung einer neuen Sicherheitslücke warnte. Dies betrifft die EXSi-Hypervisoren von VMware und sie geben an, mehrere Ransomware-Betreibergruppen entdeckt zu haben, die davon ausgenutzt haben.
Schwachstellenanalyse
Es wurde als CVE-2024-37085 identifiziert und ist eine Sicherheitslücke zur Umgehung der Active Directory-Integrationsauthentifizierung, die VMware EXSi-Hypervisoren betrifft.
ESXi-Hypervisoren hosten virtuelle Maschinen, die wichtige Server in einem Netzwerk umfassen können. Bei einem Ransomware-Angriff kann die vollständige Administratorberechtigung für einen ESXi-Hypervisor bedeuten, dass der böswillige Agent das Dateisystem verschlüsseln kann, was sich auf die Ausführung und Funktion gehosteter Server auswirken kann. Es ermöglicht dem Angreifer außerdem, auf gehostete virtuelle Maschinen zuzugreifen und möglicherweise Daten herauszuschleusen oder sich seitlich innerhalb des Netzwerks zu bewegen.
Es ist zu beachten, dass ESXi nicht dem Internet ausgesetzt werden sollte. Daher müssen Angreifer zuvor Zugriff auf die Zielumgebung haben, um die Sicherheitslücke ausnutzen und Berechtigungen erweitern zu können.
Mehrere Ransomware-Betreiber wie Storm-0506, Storm-1175, Octo Tempest und Manatee Tempest setzen bei ihren Angriffen Ransomware namens Akira und Black Basta ein. Die Angriffstechnik umfasst die folgenden Befehle:
Netzgruppe „ESX Admins“ /Domäne /add
Netzgruppe „ESX Admins“ Benutzername /Domäne /Add
- Hinzufügen der Gruppe „ESX Admins“ zur Domäne und Hinzufügen eines Benutzers: Diese Methode wird von den oben genannten Bedrohungsakteuren aktiv ausgenutzt. Wenn bei dieser Methode die Gruppe „ESX-Administratoren“ nicht vorhanden ist, kann jeder Benutzer in der Domäne, der die Möglichkeit hat, eine Gruppe zu erstellen, seine Berechtigungen auf vollständigen Administratorzugriff auf die der Domäne beigetretenen ESXi-Hypervisoren erweitern, indem er eine solche Gruppe erstellt und dann hinzufügt Sie können sich selbst oder andere Benutzer unter Ihrer Kontrolle zur Gruppe hinzufügen.
- Benennen Sie eine beliebige Gruppe in der Domäne in „ESX-Administratoren“ um und fügen Sie der Gruppe einen Benutzer hinzu oder verwenden Sie ein vorhandenes Mitglied der Gruppe: Diese Methode ähnelt der ersten, aber in diesem Fall benötigt der Bedrohungsakteur einen Benutzer, der dazu berechtigt ist Benennen Sie einige beliebige Gruppen um und benennen Sie eine davon in „ESX-Administratoren“ um. Der Bedrohungsakteur kann dann einen Benutzer hinzufügen oder einen bereits in der Gruppe vorhandenen Benutzer verwenden, um die Berechtigungen auf vollständigen Administratorzugriff zu erweitern. Microsoft hat diese Methode in der Praxis nicht beachtet.
- Aktualisierung der ESXi-Hypervisor-Berechtigungen: Selbst wenn der Netzwerkadministrator eine andere Gruppe in der Domäne als ESXi-Hypervisor-Verwaltungsgruppe zuweist, werden die vollständigen Administratorrechte von Mitgliedern der Gruppe „ESX-Administratoren“ nicht sofort entfernt und Bedrohungen durch Sicherheitsakteure könnten sie weiterhin missbrauchen. Microsoft hat diese Methode in der Praxis nicht beachtet.
Leitlinien zur Schadensbegrenzung
- VMware ESXi 8.0 (behoben in ESXi80U3-24022510)
- VMware ESXi 7.0 (keine Patches geplant)
- VMware Cloud Foundation 5.x (korrigiert auf 5.2)
- VMware Cloud Foundation 4.x (keine Patches geplant)
- Wenn Sie die Software nicht aktualisieren können, können Sie die folgenden Empfehlungen befolgen, um das Risiko zu verringern:
- Überprüfen Sie, ob die Gruppe „ESX Admins“ in der Domäne vorhanden und geschützt ist.
- Verweigern Sie dieser Gruppe manuell den Zugriff, indem Sie die Konfiguration auf dem ESXi-Hypervisor selbst ändern. Wenn Sie nicht möchten, dass die Active Directory ESX-Administratorgruppe vollständigen Administratorzugriff hat, können Sie dieses Verhalten mithilfe der erweiterten Hosteinstellungen deaktivieren:
„Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd“.
- Ändern Sie die Verwaltungsgruppe in eine andere Gruppe auf dem ESXi-Hypervisor.
- Fügen Sie benutzerdefinierte Erkennungen in XDR/SIEM für den neuen Gruppennamen hinzu.
- Konfigurieren Sie das Senden von ESXi-Protokollen an ein SIEM-System und überwachen Sie es auf verdächtigen vollständigen Administratorzugriff.
- Bereinigung von Anmeldeinformationen: Um die verschiedenen Schwachstellenmethoden nutzen zu können, müssen Bedrohungsakteure einen berechtigten Benutzer in der Organisation kontrollieren. Daher empfehlen wir Ihnen, sicherzustellen, dass Sie erhöhte Konten in Ihrer Organisation schützen, insbesondere solche, die andere Domänengruppen verwalten können:
- Erzwingen Sie die Multi-Faktor-Authentifizierung (MFA) für alle Konten, entfernen Sie von der MFA ausgeschlossene Benutzer und setzen Sie die MFA auf allen Geräten, an allen Standorten und zu jeder Zeit strikt durch.
- Aktivieren Sie kennwortlose Authentifizierungsmethoden (z. B. Windows Hello, FIDO-Schlüssel oder Microsoft Authenticator) für Konten, die die kennwortlose Authentifizierung unterstützen. Für Konten, die weiterhin Kennwörter erfordern, verwenden Sie Authentifizierungs-Apps wie Microsoft Authenticator für MFA.
- Isolieren Sie privilegierte Konten von Produktivitätskonten, um den administrativen Zugriff auf die Umgebung zu schützen.
- Verbessern Sie den Status kritischer Assets: Identifizieren Sie Ihre kritischen Assets im Netzwerk, wie z. B. ESXi-Hypervisoren und vCenter (eine zentrale Plattform zur Steuerung von VMware vSphere-Umgebungen), und stellen Sie sicher, dass Sie sie mit den neuesten Sicherheitsupdates schützen und Verfahren sowie geeignete Sicherungs- und Wiederherstellungspläne überwachen .
- Identifizieren Sie anfällige Assets: Implementieren Sie authentifizierte Scans von Netzwerkgeräten mithilfe von SNMP über das Microsoft Defender-Portal, um Schwachstellen in Netzwerkgeräten wie ESXi zu identifizieren und Sicherheitsempfehlungen zu erhalten.