CVE-2024-37085-Erkennung: Ransomware-Gruppen nutzen eine kürzlich gepatchte Schwachstelle in VMware ESXi-Hypervisoren aktiv aus, um vollständige Administratorrechte zu erlangen

Ein paar Wochen nach der Offenlegung von CVE-2024-38112, einer kritischen Schwachstelle, die von der Void Banshee-Gruppe ausgenutzt wurde, um den Atlantida-Stealer einzusetzen, rückte eine weitere Sicherheitslücke in den Fokus. Mehrere Ransomware-Gruppen haben eine kürzlich gepatchte Schwachstelle in VMware ESXi-Hypervisoren, die als CVE-2024-37085 verfolgt wird, ausgenutzt, um erweiterte Berechtigungen zu erlangen und dateiverschlüsselnde bösartige Proben zu verteilen.

Erkennen von Exploit-Versuchen bei CVE-2024-37085

Allein im Jahr 2023 wurden mehr als 30.000 neue Schwachstellen identifiziert. Diese Zahl stieg im Jahr 2024 um 42 %, was die proaktive Schwachstellenerkennung zu einem der bedeutendsten Anwendungsfälle bis heute macht. Die neueste Schwachstelle, die eine erhebliche Bedrohung für Cyber-Verteidiger darstellt, ist eine kürzlich gepatchte Authentifizierungsumgehungsschwachstelle in VMware ESXi (CVE-2024-37085), die aktiv von Ransomware-Operatoren für realitätsbezogene Angriffe ausgenutzt wird.

Um Exploit-Versuche von CVE-2024-37085 rechtzeitig zu identifizieren, könnten sich Sicherheitsexperten auf die SOC Prime Platform für kollektive Cyberabwehr verlassen, die kuratierte Detektionsinhalte zusammen mit fortschrittlichen Bedrohungserkennungs- und Jagdlösungen aggregiert, um die Sicherheitslage von Organisationen zu stärken. Drücken Sie einfach die Erkunden Sie Erkennungen Schaltfläche unten, um sofort in einen relevanten Erkennungs-Stack einzutauchen.

Erkunden Sie Erkennungen

Alle Regeln sind mit über 30 SIEM-, EDR- und Data-Lake-Lösungen kompatibel und sind der MITRE ATT&CK® Frameworkzugeordnet. Zusätzlich wird jede Erkennung mit umfassenden Metadaten angereichert, einschließlich CTI-Referenzen und Angriffstimeline, um die Bedrohungsuntersuchung zu optimieren.

Sicherheitsfachleute, die eine breitere Abdeckung der Erkennung wünschen, um die bösartigen Aktivitäten von Ransomware-Kollektiven zu untersuchen, die CVE-2024-37085 ausnutzen, könnten den Threat Detection Marketplace von SOC Prime mit entsprechenden benutzerdefinierten Tags basierend auf den Identifikatoren der Gruppen durchsuchen: Storm-0506, Octo Tempest, Manatee Tempest, Akiraund Black Basta.

CVE-2024-37085-Analyse

Microsoft-Forscher haben CVE-2024-37085 aufgedeckt, eine kürzlich gepatchte Schwachstelle mittlerer Schwere in VMware ESXi-Hypervisoren, die aktiv von diversen Ransomware-Operatoren zur massenhaften Verschlüsselung ausgenutzt wird. CVE-2024-37085 ist eine Authentifizierungsumgehungsschwachstelle mit einem CVSS-Wert von 6,8, die es Angreifern mit ausreichenden AD-Berechtigungen ermöglicht, die volle Kontrolle über einen ESXi-Host zu erlangen, der zuvor zur Verwendung von AD für das Benutzermanagement eingerichtet wurde.

Microsoft berichtete, dass Ransomware-Gruppen wie Storm-0506, Storm-1175, Octo Tempest und Manatee Tempest die Post-Compromise-Technik genutzt haben, um Akira and Black Basta RansomwareBereitzustellen. Diese gegnerische Technik umfasst spezifischer das Ausführen einer Reihe von Befehlen, die zur Generierung einer Gruppe namens „ESX Admins“ in der Domäne und zur Hinzufügung eines Benutzers zu dieser führen. Laut der Untersuchung nutzten Angreifer den spezifischen Befehl, um eine Schwachstelle in domänenverbundenen ESXi-Hypervisoren auszunutzen, die es ihnen ermöglichte, ihre Berechtigungen für vollständigen Administratorzugriff zu eskalieren. Weitere Analysen ergaben, dass VMware ESXi-Hypervisoren, die einer Active Directory-Domäne beigetreten sind, jedem Mitglied einer Domänengruppe namens „ESX Admins“ automatisch vollen administrativen Zugriff gewähren, was CVE-2024-37085 leicht ausnutzbar macht.

Microsoft-Forscher bieten drei mögliche Methoden zur Ausnutzung von CVE-2024-37085 an, die das Erstellen einer Domänengruppe namens „ESX Admins“ durch Angreifer und das Hinzufügen ihrer selbst oder anderer dazu, das Umbenennen einer bestehenden Domänengruppe in „ESX Admins“ und das Hinzufügen von Benutzern dazu oder das Aktualisieren der ESXi-Hypervisor-Berechtigungen umfassen.

Durch die erfolgreiche Ausnutzung erhalten Gegner vollen administrativen Zugriff auf die ESXi-Hypervisoren, wodurch sie grünes Licht haben, das Dateisystem des Hypervisors zu verschlüsseln, was möglicherweise die Funktionalität gehosteter Server beeinträchtigt. Darüber hinaus ermöglicht es Angreifern den Zugriff auf gehostete VMs und erleichtert die Datenexfiltration und die seitliche Bewegung.

Um Verteidigern zu helfen, die mit Angriffen verbundene Risiken, die CVE-2024-37085 ausnutzen, zu minimieren, wird Organisationen mit domänenverbundenen ESXi-Hypervisoren geraten, die neuesten von VMware bereitgestellten Sicherheitsupdates zu installieren, um CVE-2024-37085 zu beheben, bewährte Verfahren zur Anmeldeinformationen-Hygiene zu befolgen, die Sicherheitslage der kritischen Vermögenswerte der Organisation zu stärken und konsistent authentifizierte Scans von Netzwerkgeräten durchzuführen, um potenzielle blinde Flecken rechtzeitig zu identifizieren. SOC Primes Attack Detective ermöglicht es Organisationen, ihre SIEM-Sicherheitslage mit einem umsetzbaren Plan zu sichern, um die Sichtbarkeit von Bedrohungen zu maximieren und Lücken in der Erkennungsabdeckung zu schließen, während sie ihre Cybersicherheitsstrategie mit fundierten Entscheidungen stärken.