黑客利用VMware漏洞散布勒索软件

被影响的漏洞列表

CVE-2024-37085的滥用手法有三种，包括在AD域新增「ESX Admins」群组、将现有AD域群组重新命名为「ESX Admins」后新增用户，或是当管理员透过ESXi hypervisor权限更新提升了其他群组权限，但忘了将原「ESX Admins」管理权限关闭，因而给了攻击者滥用机会。

根据博通的描述，由于ESXi没有启动适当验证，让拥有足够Active Directory（AD）权限的攻击者得以滥用该漏洞，先删除某个具备用户管理权限的AD群组（即ESXi管理员群组）后再重建，使这新AD群组的成员（如黑客组织）取得ESXi主机完整的存取权，即管理员权限。

“Microsoft 安全研究人员发现了一种新的妥协后技术，该技术被 Storm-0506、Storm-1175、Octo Tempest 和 Manatee Tempest 等勒索软件运营商在众多攻击中使用，”Microsoft 威胁情报团队成员在报告中写道。“在某些情况下，使用这种技术导致了 Akira 和 Black Basta 勒索软件的部署。”

在暗网上出售的 ESXi 未经身份验证的 shell

该文章进一步补充道：将 ESXi 上的虚拟机管理程序权限升级为不受限制的管理员就像创建一个名为“ESX Admins”的新域组一样简单。从那时起，分配给该组的任何用户（包括新创建的用户）都会自动成为管理员，无需身份验证。正如 Microsoft 帖子所解释的那样：“对该漏洞的进一步分析表明，加入Active Directory域的VMware ESXi虚拟机管理程序默认认为名为“ESX Admins”的域组的任何成员都具有完全管理访问权限。此组不是Active Directory中的内置组，默认情况下不存在。当服务器加入域时，ESXi虚拟机管理程序不会验证此类组是否存在，并且仍将具有此名称的组的任何成员视为具有完全管理访问权限的组，即使该组最初不存在也是如此。此外，组中的成员身份由名称确定，而不是由安全标识符（SID）确定。“

只需使用两个命令即可创建新的域组：

• net 组“ESX Admins”/domain /add

  
  

• net 组“ESX Admins”用户名 /domain /add

他们表示，在过去的一年里，勒索软件攻击者越来越多地将ESXi虚拟机管理程序作为攻击目标，这些攻击使他们能够只需“几次点击”就可以对数据进行大规模加密。通过对虚拟机管理程序文件系统进行加密，其上托管的所有虚拟机也会被加密。研究人员还表示，许多安全产品对ESXi虚拟机管理程序的可见性有限，并且对ESXi虚拟机管理程序的保护很少。

该漏洞易于利用，再加上VMware为该漏洞分配的中等严重性评级，即6.8分（满分10分），引发了一些经验丰富的安全专业人员的批评。

ESXi 是Type 1虚拟机管理程序，也称为裸机虚拟机管理程序，这意味着它本身就是一个直接安装在物理服务器顶部的操作系统。与Type 2虚拟机管理程序不同，Type 1 虚拟机管理程序不会在Windows或Linux等操作系统上运行。然后，客户机操作系统在顶部运行。控制ESXi虚拟机管理程序可为攻击者带来巨大的权力。

Microsoft研究人员描述了他们观察到的 Storm-0506 威胁组织的一次攻击，该攻击旨在安装称为 Black Basta 的勒索软件。作为中间步骤，Storm-0506 安装了名为 Qakbot 的恶意软件，并利用之前修复的 Windows 漏洞来安装两个黑客工具，一个称为 Cobalt Strike，另一个称为 Mimikatz。研究人员写道：

今年早些时候，北美的一家工程公司受到了 Storm-0506 部署的Black Basta勒索软件的影响。在此攻击期间，威胁参与者使用CVE-2024-37085漏洞来获得对组织内 ESXi 虚拟机管理程序的提升权限。

威胁行为者通过 Qakbot 感染获得了对组织的初步访问权限，然后利用 Windows CLFS 漏洞（CVE-2023-28252）来提升他们在受影响设备上的权限。然后，威胁行为者使用 Cobalt Strike 和 Pypykatz（Mimikatz 的 Python 版本）窃取了两个域管理员的凭据，并横向移动到四个域控制器。

Microsoft 观察到威胁参与者在域中创建了“ESX Admins”组，并向其添加了一个新的用户帐户，在这些操作之后，Microsoft 观察到，此攻击导致 ESXi 文件系统加密并失去 ESXi 虚拟机管理程序上托管虚拟机的功能。还观察到该执行组件使用 PsExec 对未托管在 ESXi 虚拟机监控程序上的设备进行加密。Microsoft Defender for Endpoint 中的 Microsoft Defender 防病毒和自动攻击中断能够在安装了 Defender for Endpoint 统一代理的设备中阻止这些加密尝试。

Storm-0506 使用的攻击链

对该漏洞的进一步分析表明，加入 Active Directory 域的 VMware ESXi 虚拟机管理程序默认认为名为“ESX Admins”的域组的任何成员都具有完全管理访问权限。此组不是 Active Directory 中的内置组，默认情况下不存在。当服务器加入域时，ESXi 虚拟机管理程序不会验证此类组是否存在，并且仍将具有此名称的组的任何成员视为具有完全管理访问权限的组，即使该组最初不存在也是如此。此外，组中的成员身份由名称确定，而不是由安全标识符 （SID） 确定。

Microsoft 研究人员确定了三种利用此漏洞的方法：

（一）将“ESX Admins”组添加到域并向其中添加用户 - 上述威胁参与者在野外积极利用此方法。在此方法中，如果“ESX      Admins”组不存在，则任何能够创建组的域用户都可以通过创建此类组，然后将自己或他们控制的其他用户添加到该组，从而将权限提升为对已加入域的 ESXi 虚拟机管理程序的完全管理访问权限。

（二）将域中的任何组重命名为“ESX Admins”，并将用户添加到组或使用现有组成员 - 此方法与第一种方法类似，但在这种情况下，威胁参与者需要一个能够重命名某些任意组并将其中一个重命名为“ESX Admins”的用户。然后，威胁参与者可以添加用户或使用组中已存在的用户，以将权限提升为完全管理访问权限。Microsoft 在野外没有观察到这种方法。

（三）ESXi 虚拟机管理程序特权刷新 - 即使网络管理员将域中的任何其他组指定为 ESXi 虚拟机管理程序的管理组，“ESX 管理员”组成员的完全管理权限也不会立即删除，威胁参与者仍可能滥用它。Microsoft 在野外没有观察到这种方法。

成功利用此漏洞可获得对 ESXi 虚拟机管理程序的完全管理访问权限，从而允许威胁行为者加密虚拟机管理程序的文件系统，这可能会影响托管服务器的运行和功能。它还允许威胁参与者访问托管的 VM，并可能泄露数据或在网络内横向移动。