您所在的位置: 首頁 >
新聞資訊 >
威脅情報(bào) >
微軟:VMware身份驗(yàn)證繞過漏洞正在被勒索團(tuán)伙利用
7月29日,微軟發(fā)出警告指出勒索軟件的犯罪團(tuán)伙正在利用VMware ESXi中的一個(gè)身份驗(yàn)證繞過漏洞來進(jìn)行攻擊。該安全漏洞被追蹤為CVE-2024-37085。
目前漏洞已被Storm-0506、Storm-1175、Octo Tempest和Manatee Tempest的勒索軟件操作者在攻擊中利用。
1、VMware安全漏洞
CVE-2024-37085漏洞是一個(gè)中等嚴(yán)重程度的安全漏洞,由微軟的安全研究人員Edan Zwick、Danielle Kuznets Nohi和Meitar Pinto發(fā)現(xiàn),并在6月25日發(fā)布的ESXi 8.0 U3中得到了修復(fù)。
攻擊者可以利用這個(gè)漏洞將新用戶添加到他們創(chuàng)建的“ESX管理員”組中,它允許未經(jīng)授權(quán)的人獲得對(duì)系統(tǒng)的高度控制權(quán)。
“具有足夠Active Directory(AD)權(quán)限的惡意行為者可以通過在從AD中刪除配置的AD管理員后重新創(chuàng)建配置的AD組,獲得對(duì)ESXi主機(jī)的完全訪問權(quán)。幾個(gè)防毒墻高級(jí)設(shè)置的默認(rèn)值在默認(rèn)情況下是不安全的。當(dāng)一臺(tái)ESX主機(jī)加入Active Directory域時(shí),AD組“ESX Admins”將自動(dòng)獲得Vim Admin角色。”
——Broadcom公司解釋
2、在勒索軟件中被利用
盡管發(fā)動(dòng)一次攻擊,需要攻擊者對(duì)目標(biāo)設(shè)備有較高的權(quán)限,并且需要用戶的交互。但微軟公司指出,一些勒索軟件團(tuán)伙利用這種攻擊手段,來提升自己在已經(jīng)加入到域的虛擬機(jī)管理程序上的權(quán)限,達(dá)到完全管理員級(jí)別。
到目前為止,該漏洞已被追蹤為Storm-0506、Storm-1175、Octo Tempest和Manatee Tempest的勒索軟件操作者在攻擊中利用,導(dǎo)致Akira和Black Basta勒索軟件被部署。
Storm-0506惡意攻擊鏈(微軟)
例如,Storm-0506通過利用CVE-2024-37085漏洞提升權(quán)限后,在一家北美工程公司的虛擬機(jī)監(jiān)控程序上部署了Black Basta勒索軟件。
微軟已經(jīng)確定了至少三種可用于利用CVE-2024-37085漏洞的策略,包括:
1、將“ESX Admins”組添加到域并添加用戶。
2、將域中的任何組重命名為“ESX Admins”,并將用戶添加到該組或使用現(xiàn)有的組成員。
3、ESX虛擬機(jī)管理程序權(quán)限刷新(為其他組分配管理員權(quán)限不會(huì)將其從“ESX Admins”組中刪除)。
來源:E 安全