{"id":297931,"date":"2024-07-31T09:22:26","date_gmt":"2024-07-31T07:22:26","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=297931"},"modified":"2024-07-31T13:32:57","modified_gmt":"2024-07-31T11:32:57","slug":"microsoft-entdeckt-vmware-esxi-auth-bypass-schwachstelle-cve-2024-37085","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/07\/31\/microsoft-entdeckt-vmware-esxi-auth-bypass-schwachstelle-cve-2024-37085\/","title":{"rendered":"Microsoft entdeckt VMware ESXi Auth Bypass-Schwachstelle CVE-2024-37085"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Sicherheitsexperten von Microsoft sind einer Ransomware-Kampagne auf die Schlichte gekommen, die auf VMware ESXi-Instanzen zielt. \u00dcber eine Auth Bypass-Schwachstelle (CVE-2024-37085) ist es m\u00f6glich, vollst\u00e4ndige administrative Berechtigungen auf mit einer Dom\u00e4ne verbundenen ESXi-Hypervisoren zu erhalten. Die Schwachstelle wird von mehreren Ransomware-Betreibern ausgenutzt, um\u00a0 ESXi-Installationen anzugreifen.<\/p>\n

<\/p>\n

Entdeckung durch Microsoft<\/h2>\n

\"\"Im Jahr 2023 haben Sicherheitsforscher von Microsoft beobachtet, dass Ransomware-Akteure ESXi-Hypervisoren ins Visier genommen haben, um eine Massenverschl\u00fcsselung mit wenigen Klicks zu erm\u00f6glichen. Microsoft gibt an, dass Gruppen wie Storm-0506, Storm-1175, Octo Tempest, Manatee Tempest und andere ESXi-Verschl\u00fcsselungsprogramme wie Akira, Black Basta, Babuk, Lockbit und Kuiper beobachtet wurden. Es zeigte sich auch, dass Ransomware-Betreiber ihre Angriffstechniken st\u00e4ndig erneuern, um die Auswirkungen auf die von ihnen angegriffenen Unternehmen zu erh\u00f6hen.<\/p>\n

\"VMware<\/a><\/p>\n

Microsoft-Sicherheitsforscher sind k\u00fcrzlich auf eine Schwachstelle in ESXi-Hypervisoren gesto\u00dfen, die bereits von mehreren Ransomware-Betreibern ausgenutzt wird. Bei einem Ransomware-Angriff kann die volle administrative Berechtigung auf einem ESXi-Hypervisor \u00fcber die Schwachstelle erlangt werden. Dies erm\u00f6glicht es dem Bedrohungsakteur, das Dateisystem zu verschl\u00fcsseln, was die Ausf\u00fchrungs- und Funktionsf\u00e4higkeit der gehosteten Server beeintr\u00e4chtigen kann. Au\u00dferdem kann der Bedrohungsakteur auf gehostete VMs zugreifen und m\u00f6glicherweise Daten exfiltrieren oder sich seitlich im betreffenden Netzwerk bewegen.<\/p>\n

Analyse der Schwachstelle CVE-2024-37085<\/h2>\n

VMware ESXi ist ja ein Bare-Metal-Hypervisor, der direkt auf einem physischen Server installiert wird und direkten Zugriff und Kontrolle \u00fcber die zugrunde liegenden Ressourcen bietet. In VMware ESXi-Hypervisoren lassen sich virtuelle Maschinen aufsetzen. H\u00e4ufig werden auch wichtige Server in einem Netzwerk (AD-Server etc.) per ESXi virtualisiert.<\/p>\n

\"ESXi
\nQuelle: Microsoft<\/p>\n

Microsoft-Sicherheitsforscher sind bei der Analyse von Angriffen auf eine Technik zur Ausnutzung der Schwachstelle CVE-2024-37085<\/a> gesto\u00dfen, die von Ransomware-Gruppen wie Storm-0506, Storm-1175, Octo Tempest und Manatee Tempest in zahlreichen Angriffen eingesetzt wird. In mehreren F\u00e4llen f\u00fchrte der Einsatz dieser Technik zu Ransomware-Eins\u00e4tzen von Akira und Black Basta.<\/p>\n

Die Angriffstechnik umfasst die Ausf\u00fchrung der folgenden Befehle, welche zur Erstellung einer Gruppe namens \"ESX Admins\" in der Dom\u00e4ne und zum Hinzuf\u00fcgen eines Benutzers zu dieser Gruppe f\u00fchrt:<\/p>\n

net group \"ESX Admins\" \/domain \/add
\nnet group \"ESX Admins\" username \/domain \/add<\/p>\n

Die Bedrohungsakteure k\u00f6nnen mit diesem Befehl die Schwachstelle in dom\u00e4nenverbundenen ESXi-Hypervisoren ausnutzen, um die Berechtigungen auf den ESXi-Hypervisor zu erweitern und vollen administrativen Zugriff zu erlangen. Eine weitere Analyse der Schwachstelle ergab, dass VMware ESXi-Hypervisoren, die mit einer Active Directory-Dom\u00e4ne verbunden sind, jedem Mitglied einer Dom\u00e4nengruppe namens \"ESX Admins\" standardm\u00e4\u00dfig vollen administrativen Zugriff gew\u00e4hren.<\/p>\n

Bei dieser Gruppe handelt es sich nicht um eine integrierte Gruppe in Active Directory, die standardm\u00e4\u00dfig nicht existiert. ESXi-Hypervisoren \u00fcberpr\u00fcfen nicht, ob eine solche Gruppe vorhanden ist, wenn der Server einer Dom\u00e4ne beitritt, und behandeln alle Mitglieder einer Gruppe mit diesem Namen weiterhin mit vollem Administratorzugriff, selbst wenn die Gruppe urspr\u00fcnglich nicht vorhanden war. Au\u00dferdem wird die Mitgliedschaft in der Gruppe anhand des Namens und nicht anhand der Sicherheitskennung (SID) bestimmt. Microsoft-Forscher haben drei Methoden zum Ausnutzen dieser Schwachstelle identifiziert:<\/p>\n