Een door Microsoft ontdekte kwetsbaarheid in de ESXi-hypervisor van VMware heeft hackers in staat gesteld volledige controle te krijgen over dergelijke systemen. Ze wisten bestanden te versleutelen en kregen verregaande toegang tot VM’s op deze bare-metal hypervisors. Ook wisten ze servers zelfs helemaal plat te leggen.
De kwetsbaarheid is geïdentificeerd als CVE-2024-37085 en wordt actief uitgebuit door meerdere ransomware-groepen, schrijven onderzoekers van Microsoft. Het gaat onder andere om de criminelen van Storm-0506, Storm-1175, Octo Tempest en Manatee Tempest.
De kwetsbaarheid kwam aan het licht na routine-onderzoek door Microsoft. Het bedrijf meldde dit aan VMware, waarna het moederbedrijf Broadcom afgelopen donderdag een patch uitbracht om het lek te dichten. Niet verwonderlijk dringen de onderzoekers van Microsoft er in hun berichtgeving op aan deze patch zo snel mogelijk toe te passen indien dit nog niet is gebeurd.
Ransomware ingezet
Bij daadwerkelijk uitgevoerde aanvallen die deze kwetsbaarheden uitbuiten, zijn vaak ransomware-varianten zoals Akira en Black Basta ingezet, aldus het Threat Intelligence-team van Microsoft. Aanvallers konden hun privileges opschalen tot onbeperkte admin-rechten door eenvoudigweg een nieuwe domeingroep genaamd ‘ESX Admins’ aan te maken. Elke gebruiker die ze aan deze groep toevoegden, kreeg automatisch beheerrechten en omzeilde verdere authenticatie.
Om de kwetsbaarheid uit te buiten, zijn slechts twee commando’s nodig:
- net group “ESX Admins” /domain /add
- net group “ESX Admins” gebruikersnaam /domain /add
VMware beoordeelde de kwetsbaarheid met een score van 6,8 op 10, wat het bedrijf kritiek opleverde van security-experts die vonden dat een lek dat zo gemakkelijk is uit te buiten en potentieel zo’n grote impact heeft, een hogere score verdient. Omdat ESXi een Type 1 hypervisor is, heeft het een directe interface met fysieke servers.
De volledige controle die hackers via de kwetsbaarheid verkregen, stelde hen in staat om het file system van de hypervisor te versleutelen, waarmee ze ook alle gehoste vm’s onbereikbaar maakten. Ook konden ze via de hypervisor diep doordringen in de aangesloten netwerken.
Inloggegevens gestolen
In één geval gebruikte de Storm-0506 groep het lek om Black Basta-ransomware te implementeren. Ze installeerden eerst Qakbot-malware, buitten een eerder gefixed Windows-lek uit om meer rechten te verkrijgen en pasten vervolgens hackingtools Cobalt Strike en Pypykatz (een Python-versie van Mimikatz) toe om de inloggegevens van twee systeemadmins te stelen en zo hun toegang tot de systemen nog verder te verruimen.
Vervolgens versleutelden de hackers het ESXi file system en gebruikten ze remote execution-tool PsExec om apparaten te versleutelen die niet waren gehost op de ESXi hypervisor. Dat mislukte overigens in sommige gevallen dankzij Microsoft Defender-onderdelen die in actie kwamen, maar alleen als die devices de Unified agent for Defender for Endpoint hadden geïnstalleerd.
Lees ook: VMware lost kwetsbaarheden op in verlopen versies ESXi en Workstation