Microsoft meldt ransomware-aanvallen via recent VMware ESXi-lek
Criminelen maken al enige tijd actief misbruik van een recente kwetsbaarheid in VMware ESXi voor het uitvoeren van ransomware-aanvallen. VMware kwam op 25 juni met updates voor het beveiligingslek, maar misbruik vond al voor het uitkomen van de patch plaats, aldus Microsoft dat het probleem aan VMware rapporteerde.
ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. Via de kwetsbaarheid aangeduid als CVE-2024-37085 kan een aanvaller met voldoende Active Directory (AD) permissies volledige toegang tot een ESXi-host krijgen, aldus de summiere uitleg van Broadcom.
Microsoft stelt het volgende: "VMware ESXi-hypervisors die worden gekoppeld aan een Active Directory domein vinden dat elk lid van een domeingroep genaamd "ESX Admins" standaard volledige adminrechten heeft. Deze groep is geen ingebouwde groep in Active Directory en bestaat standaard niet. ESXi-hypervisors valideren niet dat een dergelijke groep bestaat wanneer de server aan een domein wordt gekoppeld en behandelen elk lid van een groep met deze naam als het beschikken over volledige admintoegang, ook al bestond de groep in eerste instantie niet."
Volgens het techbedrijf kunnen aanvallers op verschillende manieren misbruik van het lek maken. Microsoft heeft in het wild aanvallen waargenomen waarbij aanvallers eerst de groep 'ESX Admins' aanmaken en dan een gebruiker aan de groep toevoegen. Via de aanval krijgt de aanvaller admintoegang tot de ESXi-hypervisor en kan dan het bestandssysteem van de hypervisor versleutelen, wat impact heeft op het functioneren van de server. Ook kan de aanvaller toegang tot gehoste virtual machines krijgen om bijvoorbeeld data te stelen of zich lateraal door het netwerk te bewegen. Microsoft stelt niet precies wanneer de aanvallen via het ESXi-lek plaatsvinden, maar spreekt over 'eerder dit jaar'. Organisaties worden opgeroepen de beschikbaar gestelde patch te installeren.
"between a rock and a hard place" .
Je wilt liefst nergens shared admin accounts.
Je wilt admin accounts centraal beheren (toevoegen/dichtzetten) als een persoon uit het admin team weggaat of erbij komt.
Dan kom je in een omgeving van enige omvang (met dus admin TEAMS en mensen die van functie wisselen) en wordt een centrale AAA server (zoals AD) al snel een goede keuze.
Overal massaal lokale admin accounts maken (en bijwerken) is ook niet geweldig.
Als je 200-300 beheerders hebt die toegang moeten hebben tot de infrastructuur om bijvoorbeeld hun virtuale machines te beheren, wil je iets van centraal account management hebben zodat je SSO hebt.
Dan is het inderdaad al te laat.
N.B. De eenvoudigste en snelste mitigatie is als beheerder de bewuste groep aanmaken en daar een deny op te zetten voor iedereen. Binnen twee minuten geregeld.
Ook voor storing/troubleshooting e.d. wil je (soms) rechtstreeks op de ESXi host kunnen , en ik kan me voorstellen dat je die dan (ook) aan AD koppelt en niet alleen het last resort lokale account deelt voor alle admins.
Dat lokale account is dan echt last resort als het ding helemaal geisoleerd is.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
