Η Microsoft καλεί τους χρήστες του hypervisor ESXi του VMware να λάβουν άμεσα μέτρα για να αποκρούσουν τις συνεχιζόμενες επιθέσεις από ομάδες ransomware που τους δίνουν τον πλήρη διοικητικό έλεγχο των διακομιστών στους οποίους εκτελείται το προϊόν.
Η ευπάθεια, που καταγράφεται ως CVE-2024-37085, επιτρέπει στους επιτιθέμενους που έχουν ήδη αποκτήσει περιορισμένα δικαιώματα συστήματος σε έναν στοχευόμενο διακομιστή να αποκτήσουν πλήρη διοικητικό έλεγχο του hypervisor ESXi.
Οι επιτιθέμενοι συνδέονται με πολλές συμμορίες ransomware – συμπεριλαμβανομένων των Storm-0506, Storm-1175, Octo Tempest και Manatee Tempest – έχουν εκμεταλλευτεί την αδυναμία αυτή εδώ και μήνες σε πολυάριθμες επιθέσεις μετά την αρχική παραβίαση, δηλαδή αφού έχει ήδη αποκτηθεί περιορισμένη πρόσβαση με άλλους τρόπους.
Τα δικαιώματα διαχειριστή εκχωρούνται από προεπιλογή
Ο πλήρης διαχειριστικός έλεγχος του hypervisor παρέχει στους επιτιθέμενους διάφορες δυνατότητες, όπως την κρυπτογράφηση του συστήματος αρχείων και και η απενεργοποίηση των διακομιστών που φιλοξενούνται.
Ο έλεγχος του hypervisor μπορεί επίσης να επιτρέψει στους επιτιθέμενους να έχουν πρόσβαση σε φιλοξενούμενες εικονικές μηχανές για να εξαιρέσουν δεδομένα ή να επεκτείνουν το προγεφύρωμά τους μέσα σε ένα δίκτυο.
Οι ερευνητές ασφαλείας της Microsoft ανακάλυψαν την ευπάθεια στο πλαίσιο της διερεύνησης των επιθέσεων και την ανέφεραν στη VMware. Η μητρική εταιρεία της VMware, η Broadcom, επιδιόρθωσε την ευπάθεια την Πέμπτη.
“Οι ερευνητές ασφαλείας της Microsoft εντόπισαν μια νέα τεχνική μετά την παραβίαση που χρησιμοποιείται από τους διαχειριστές του ransomware όπως οι Storm-0506, Storm-1175, Octo Tempest και Manatee Tempest σε πολλές επιθέσεις”, έγραψαν τα μέλη της ομάδας Microsoft Threat Intelligence τη Δευτέρα. “Σε αρκετές περιπτώσεις, η χρήση αυτής της τεχνικής έχει οδηγήσει σε αναπτύξεις ransomware Akira και Black Basta.”
Στην ανάρτηση τεκμηριώνεται επιπρόσθετα και μία εκπληκτική ανακάλυψη: Η αναβάθμιση των προνομίων hypervisor σε απεριόριστη διαχειριστική πρόσβαση στον ESXi ήταν τόσο απλή όσο η δημιουργία μιας νέας ομάδας με το όνομα “ESX Admins”. Από εκεί και πέρα, οποιοσδήποτε χρήστης εκχωρηθεί στην ομάδα—συμπεριλαμβανομένων των νεοδημιουργημένων χρηστών—γινόταν αυτόματα διαχειριστής, χωρίς να απαιτείται έλεγχος ταυτότητας. Όπως εξήγησε η ανάρτηση της Microsoft:
“Περαιτέρω ανάλυση της ευπάθειας αποκάλυψε ότι οι hypervisor VMware ESXi που έχουν συμμετάσχει σε έναν τομέα Active Directory θεωρούν ότι οποιοδήποτε μέλος μιας ομάδας τομέα (domain group) με το όνομα “ESX Admins” έχει πλήρη πρόσβαση διαχειριστή από προεπιλογή. Αυτή η ομάδα δεν είναι μια ενσωματωμένη ομάδα στο Active Directory και δεν υπάρχει από προεπιλογή. Οι hypervisor ESXi δεν επικυρώνουν ότι υπάρχει μια τέτοια ομάδα όταν ο διακομιστής συμμετέχει σε έναν τομέα και εξακολουθούν να αντιμετωπίζουν όλα τα μέλη μιας ομάδας με αυτό το όνομα με πλήρη διαχειριστική πρόσβαση, ακόμη και αν η ομάδα δεν υπήρχε αρχικά. Επιπλέον, η συμμετοχή στην ομάδα καθορίζεται από το όνομα και όχι από το αναγνωριστικό ασφαλείας (SID)”.
Η δημιουργία της νέας ομάδας τομέα μπορεί να επιτευχθεί με μόλις δύο εντολές:
- net group “ESX Admins” /domain /add
- net group “ESX Admins” username /domain /add
Ανέφεραν ότι τον τελευταίο χρόνο, οι διαχειριστές ransomware έχουν στοχοποιήσει αυξανόμενα τους hypervisor ESXi σε επιθέσεις που τους επιτρέπουν να κρυπτογραφήσουν μαζικά δεδομένα με μόλις “λίγα κλικ”. Κρυπτογραφώντας το σύστημα αρχείων του hypervisor, όλες οι εικονικές μηχανές που φιλοξενούνται σε αυτόν κρυπτογραφούνται επίσης. Οι ερευνητές ανέφεραν επίσης ότι πολλά προϊόντα ασφαλείας έχουν περιορισμένη ορατότητα και μικρή προστασία του υπερεπόπτη ESXi.
Η ευκολία της εκμετάλλευσης, σε συνδυασμό με τη μεσαία βαθμολογία σοβαρότητας που η VMware απέδωσε στην ευπάθεια, με 6,8 στο 10, προκάλεσε κριτική από ορισμένους έμπειρους επαγγελματίες στον τομέα ασφαλείας.
Ο ESXi είναι ένας hypervisor Τύπου 1, γνωστός και ως bare-metal hypervisor, που σημαίνει ότι είναι ένα λειτουργικό σύστημα από μόνο του που εγκαθίσταται απευθείας πάνω σε έναν φυσικό διακομιστή. Σε αντίθεση με τους hypervisor Τύπου 2, οι hypervisor Τύπου 1 δεν τρέχουν πάνω σε ένα λειτουργικό σύστημα όπως τα Windows ή το Linux. Τα λειτουργικά συστήματα των φιλοξενουμένων τρέχουν από πάνω. Η ανάληψη ελέγχου του hypervisor ESXi δίνει στους επιτιθέμενους τεράστια δύναμη.
Οι ερευνητές της Microsoft περιέγραψαν μια επίθεση που παρατήρησαν από την ομάδα απειλών Storm-0506 για την εγκατάσταση ransomware γνωστού ως Black Basta. Ως ενδιάμεσα βήματα, το Storm-0506 εγκατέστησε κακόβουλο λογισμικό γνωστό ως Qakbot και εκμεταλλεύτηκε μια προηγουμένως διορθωμένη ευπάθεια των Windows για να διευκολύνει την εγκατάσταση δύο εργαλείων hacking, το ένα είναι γνωστό ως Cobalt Strike και το άλλο Mimikatz.
