.
Você tem seu hypervisor VMware ESXi unido ao Active Directory? Bem, as últimas notícias da Microsoft servem como um lembrete de que você pode não querer fazer isso, dada a vulnerabilidade recentemente corrigida que deixou os especialistas em segurança profundamente preocupados.
O CVE-2024-37085 tem apenas uma classificação CVSS de 6,8, mas tem sido usado como uma técnica pós-comprometimento por muitos dos grupos de ransomware mais famosos do mundo e seus afiliados, incluindo Black Basta, Akira, Medusa e Octo Tempest/Scattered Spider.
A vulnerabilidade permite que invasores que tenham os privilégios necessários para criar grupos do AD – o que não é necessariamente um administrador do AD – obtenham controle total de um hipervisor ESXi.
Isso é ruim por razões óbvias. Ter acesso irrestrito a todas as VMs em execução e servidores hospedados críticos oferece aos invasores a capacidade de roubar dados, mover-se lateralmente pela rede da vítima ou apenas causar caos ao encerrar processos e criptografar o sistema de arquivos.
O “como” do exploit é o que causou tanto rebuliço nos círculos cibernéticos. Existem três maneiras de explorar o CVE-2024-37085, mas a falha lógica subjacente no ESXi que os habilitou é o que atraiu tanta atenção.
Basicamente, se um invasor conseguisse adicionar um grupo do AD chamado “ESX Admins”, qualquer usuário adicionado a ele seria considerado um administrador por padrão.
É isso. Essa é a façanha.
“Este método é explorado ativamente na natureza pelos atores de ameaças acima mencionados”, alertou a Microsoft ontem à noite. “Neste método, se o grupo ‘ESX Admins’ não existir, qualquer usuário de domínio com a capacidade de criar um grupo pode escalar privilégios para acesso administrativo total aos hipervisores ESXi ingressados no domínio criando tal grupo e, em seguida, adicionando a si mesmo, ou outros usuários sob seu controle, ao grupo.”
Outra maneira de fazer isso seria renomear um grupo AD existente para o mesmo nome “ESX Admins” e adicionar a si mesmos a ele. Boom – privilégios de administrador. Este método não foi usado na prática, de acordo com a Microsoft, mas é igualmente viável de ser executado.
O método final descrito pela Microsoft diz mais respeito a como a falha lógica persiste mesmo se um administrador de rede atribuir outro grupo do AD para gerenciar o hipervisor. Enquanto um grupo chamado “ESX Admins” existir, os privilégios de administrador dos usuários adicionados a ele não serão imediatamente removidos, deixando-os abertos para abuso.
A Broadcom disse em um comunicado de segurança que já havia emitido um patch para o CVE-2024-37085 em 25 de junho, mas só atualizou o Cloud Foundation em 23 de julho, o que talvez explique por que o relatório da Microsoft só foi publicado agora.
Jake Williams, vice-presidente de pesquisa e desenvolvimento da Hunter Strategy e membro do corpo docente da IANS, criticou a abordagem da Broadcom à segurança, especialmente no que diz respeito à gravidade atribuída à vulnerabilidade.
Ele disse: “Então você cria um grupo do AD ‘ESX Admins’ e, por padrão, o VMware fica tipo ‘ah, então você é o administrador agora?’
“E então, para deixar tudo ainda mais estúpido, a VMware classifica isso como uma gravidade moderada, apesar de saber que os TAs de ransomware estão usando isso ativamente?
“Só posso concluir que a Broadcom não leva a segurança a sério. Não sei como você conclui qualquer outra coisa. Ah, também, não há patches planejados para o ESXi 7.0.”
Muitos comentaristas questionaram por que uma organização associaria seus hosts ESXi ao AD em primeiro lugar, apesar de ser uma prática relativamente comum.
“Por que os servidores ESX são unidos a um diretório ativo em primeiro lugar? Porque é conveniente gerenciar o acesso administrativo aos servidores usando uma plataforma centralizada em grandes corporações”, disse o Dr. Martin J Kraemer, defensor da conscientização sobre segurança na KnowBe4. O registro.
“Isso é muito comum, mas também cria desafios. Em muitos ambientes, o próprio AD pode ser executado em uma VM. A inicialização a frio pode ser um pesadelo. Um problema do ovo e da galinha. Como você pode iniciar o ESX sem o AD enquanto o AD é executado no ESX? Os administradores devem pensar sobre isso. Um desafio bem conhecido.
“A outra realidade é que muitas plataformas estão conectadas ao AD e algumas delas sincronizam grupos e credenciais com o AD. Como alguns aplicativos podem ser considerados parceiros de sincronização privilegiados, por exemplo, Azure, também pode haver um risco de que outra plataforma (Azure) exija privilégios menores para a mesma operação que o AD exigiria privilégios maiores.
“Se esse for o privilégio de criar um grupo de usuários ‘ESX Admins’ que é então sincronizado com o AD e correspondido por string como um grupo superadministrador pelo ESX, você tem a combinação perfeita. Uma ótima maneira de entrar para os invasores. É preciso garantir que os privilégios sejam correspondidos corretamente entre os sistemas e sua sincronização.”
Um presente para grupos de ransomware
Octo Tempest/Scattered Spider, Manatee Tempest/Evil Corp, Storm-0506/Black Basta e Storm-1175 (que é um usuário conhecido do ransomware Medusa) são apenas alguns dos muitos grupos que usam essa técnica de pós-exploração na natureza.
A Microsoft também viu variantes de ransomware Akira, Babuk, LockBit e Kuiper implantadas após a exploração de hipervisores ESXi, que se tornaram um alvo importante para criminosos cibernéticos motivados financeiramente nos últimos anos.
“No ano passado, vimos agentes de ransomware mirando hipervisores ESXi para facilitar o impacto da criptografia em massa em poucos cliques, demonstrando que os operadores de ransomware estão constantemente inovando suas técnicas de ataque para aumentar o impacto nas organizações que eles alvejam”, afirmou.
A Microsoft também disse que os hipervisores ESXi geralmente passam despercebidos nos centros de operações de segurança (SOCs) porque as soluções de segurança geralmente não têm a visibilidade necessária no ESXi, o que pode permitir que invasores passem despercebidos por períodos mais longos.
Por causa da destruição que um ataque ESXi bem-sucedido poderia causar, os ataques aumentaram acentuadamente. Nos últimos três anos, o direcionamento de hipervisores ESXi dobrou.
Vários grupos de ransomware como serviço (RaaS) desenvolveram variantes específicas do ESXi de suas cargas úteis durante esse período, incluindo Play, Mallox, Cheers e BlackSuit, que são apenas alguns dos que também capitalizaram a tendência.
No ano passado, a variante ESXiArgs estava em alta há algum tempo – um projeto aparentemente dedicado apenas ao ESXi, em vez de uma extensão de marca de um grupo RaaS existente.
Mais recentemente, a Microsoft detalhou um ataque observado em uma empresa de engenharia norte-americana atingida pelo ransomware Black Basta depois que os criminosos exploraram o CVE-2024-37085.
Eles obtiveram acesso inicial por meio de uma infecção Qakbot antes de explorar CVE-2023-28252, uma vulnerabilidade de escalonamento de privilégios do Windows CLFS. A versão Python do kit de ferramentas pós-exploit Mimikatz, Pypykatz, foi então usada para roubar as credenciais de conta dos controladores de domínio.
Os invasores então tomaram medidas para estabelecer acesso persistente antes de explorar o CVE-2024-37085 e criptografar o sistema de arquivos ESXi.
A Microsoft recomenda que todos os usuários do ESXi instalem os patches disponíveis e melhorem a higiene de suas credenciais para evitar ataques futuros, além de usar um scanner de vulnerabilidades robusto, caso ainda não o faça. ®
.
