Detecção do CVE-2024-37085: Grupos de Ransomware Exploram Ativamente uma Vulnerabilidade Recém-Corrigida nos Hypervisors VMware ESXi para Obter Privilégios Administrativos Totais
Índice:
Algumas semanas após a divulgação do CVE-2024-38112, uma vulnerabilidade crítica explorada pelo grupo Void Banshee para implantar o stealer Atlantida, outra falha de segurança ganhou destaque. Vários grupos de ransomware têm usado uma vulnerabilidade recentemente corrigida nos hiperconvergentes VMware ESXi, rastreada como CVE-2024-37085, para obter privilégios elevados e distribuir amostras maliciosas de criptografia de arquivos.
Detectar Tentativas de Exploração CVE-2024-37085
Só em 2023, mais de 30.000 novas vulnerabilidades foram identificadas. Este número aumentou em 42% em 2024, tornando a detecção proativa de vulnerabilidades um dos casos de uso mais proeminentes até agora. A vulnerabilidade mais recente causando grande ameaça para os defensores cibernéticos é uma falha de bypass de autenticação recentemente corrigida em VMware ESXi (CVE-2024-37085) ativamente utilizada por operadores de ransomware para ataques no mundo real.
Para identificar tentativas de exploração do CVE-2024-37085 a tempo, pesquisadores de segurança poderiam contar com a plataforma SOC Prime para defesa cibernética coletiva, que agrega conteúdo de detecção curado acompanhado de soluções avançadas de detecção e caça de ameaças para reforçar a postura de segurança organizacional. Basta pressionar o Explore Detections botão abaixo e mergulhe imediatamente em uma pilha de detecção relevante.
Todas as regras são compatíveis com mais de 30 soluções de SIEM, EDR e Data Lake e mapeadas para o framework MITRE ATT&CK®. Além disso, cada detecção é enriquecida com metadados extensivos, incluindo referências CTI e cronogramas de ataque, para agilizar a investigação de ameaças.
Profissionais de segurança que buscam maior cobertura de detecção para investigar a atividade maliciosa de coletivos de ransomware explorando CVE-2024-37085 podem procurar no SOC Prime’s Threat Detection Marketplace utilizando tags personalizadas correspondentes com base nos identificadores dos grupos: Storm-0506, Octo Tempest, Manatee Tempest, Akira, e Black Basta.
Análise CVE-2024-37085
Pesquisadores da Microsoft revelaram o CVE-2024-37085, uma vulnerabilidade de gravidade média recentemente corrigida nos hiperconvergentes VMware ESXi, que tem sido ativamente explorada por diversos operadores de ransomware para criptografia em massa. CVE-2024-37085 é uma vulnerabilidade de bypass de autenticação com uma pontuação CVSS de 6.8, permitindo que invasores com permissões de AD suficientes obtenham controle total de um host ESXi que foi previamente configurado para usar AD para gerenciamento de usuários.
A Microsoft relatou que grupos de ransomware como Storm-0506, Storm-1175, Octo Tempest e Manatee Tempest têm usado a técnica de pós-comprometimento para implantar Akira and ransomware Black Basta. Mais especificamente, esta técnica adversária inclui a execução de um conjunto de comandos, o que leva à geração de um grupo chamado “ESX Admins” no domínio e à adição de um usuário a ele. De acordo com a investigação, os atacantes usaram o comando específico para explorar uma vulnerabilidade em hiperconvergentes ESXi ligados ao domínio, permitindo que eles escalassem seus privilégios para acesso administrativo total. Análises mais detalhadas revelaram que hiperconvergentes VMware ESXi associados a um domínio do Active Directory automaticamente concedem acesso administrativo total a qualquer membro de um grupo de domínio chamado “ESX Admins,” o que torna o CVE-2024-37085 fácil de explorar.
Pesquisadores da Microsoft fornecem três métodos possíveis de exploração do CVE-2024-37085, que incluem a criação de um grupo de domínio chamado “ESX Admins” por atacantes e adicionando a si mesmos ou a outros a ele, renomeando um grupo de domínio existente para “ESX Admins” e adicionando usuários a ele, ou atualizando os privilégios do hiperconvergente ESXi.
Como resultado da exploração bem-sucedida, os adversários ganham acesso administrativo total aos hiperconvergentes ESXi, dando-lhes luz verde para criptografar o sistema de arquivos do hypervisor, potencialmente interrompendo a funcionalidade dos servidores hospedados. Além disso, permite que invasores acessem VMs hospedadas e facilitem a exfiltração de dados e o movimento lateral.
Para ajudar os defensores a minimizar os riscos associados a ataques explorando CVE-2024-37085, as organizações com hiperconvergentes ESXi conectados a domínios são aconselhadas a instalar as atualizações de segurança mais recentes fornecidas pela VMware para corrigir o CVE-2024-37085, seguir as melhores práticas de higiene de credenciais, fortalecer a postura dos ativos críticos da organização, e implantar consistentemente verificações autenticadas de dispositivos de rede para identificar pontos cegos potenciais em tempo hábil. O Attack Detective da SOC Prime permite que as organizações reforcem sua postura de SIEM com um plano de ação para maximizar a visibilidade das ameaças e abordar lacunas de cobertura de detecção enquanto fortalecem sua estratégia de cibersegurança com decisões informadas.
