Witold Kepinski - 30 juli 2024

Ransomware groepen misbruiken kwetsbaarheid in VMware ESXi hypervisor

Microsoft onderzoekers hebben een kwetsbaarheid ontdekt in ESXi-hypervisors die door verschillende ransomware-operators wordt misbruikt om volledige beheerdersrechten te verkrijgen op domeingekoppelde ESXi-hypervisors.

Ransomware groepen misbruiken kwetsbaarheid in VMware ESXi hypervisor image

Microsoft meldt in een blopost: ESXi is een bare-metal hypervisor die rechtstreeks op een fysieke server wordt geïnstalleerd en directe toegang en controle biedt over onderliggende bronnen. ESXi-hypervisors hosten virtuele machines die kritieke servers in een netwerk kunnen omvatten. Bij een ransomware-aanval kan het hebben van volledige beheerdersrechten op een ESXi-hypervisor betekenen dat de dreigingsactor het bestandssysteem kan versleutelen, wat van invloed kan zijn op het vermogen van de gehoste servers om te draaien en te functioneren. Het stelt de dreigingsactor ook in staat om toegang te krijgen tot gehoste VM's en mogelijk om gegevens te exfiltreren of lateraal binnen het netwerk te bewegen.

De kwetsbaarheid, geïdentificeerd als CVE-2024-37085, betreft een domeingroep waarvan de leden standaard volledige administratieve toegang tot de ESXi-hypervisor krijgen zonder de juiste validatie. Microsoft heeft de bevindingen bekendgemaakt aan VMware via Coordinated Vulnerability Disclosure (CVD) via Microsoft Security Vulnerability Research (MSVR) en VMWare heeft een beveiligingsupdate uitgebracht . Microsoft raadt ESXi-serverbeheerders aan de updates van VMware toe te passen om hun servers te beschermen tegen gerelateerde aanvallen en de richtlijnen voor mitigatie en bescherming te volgen die we in deze blogpost bieden. We danken VMWare voor hun medewerking bij het aanpakken van dit probleem.

Beschermingsinfo

In een uitgebreide blogpost presenteert Microsoft een analyse van CVE-2024-37085, evenals details van een aanval die door Microsoft werd waargenomen om de kwetsbaarheid te misbruiken. "We delen dit onderzoek om het belang van samenwerking tussen onderzoekers, leveranciers en de beveiligingsgemeenschap te benadrukken om voortdurend de verdediging voor het grotere ecosysteem te verbeteren. Als onderdeel van Microsofts toewijding om de beveiliging voor iedereen te verbeteren, zullen we doorgaan met het delen van informatie en samenwerken met de beveiligingsgemeenschap om gebruikers en organisaties op alle platforms te helpen beschermen."

Outpost24 17/12/2024 t/m 31/12/2024 BN + BW