Ransomware-Attacken auf VMware ESXi-Server beobachtet

Jetzt patchen! Ransomware-Attacken auf VMware ESXi-Server beobachtet

Sicherheitsforscher warnen vor laufenden Attacken auf Systeme mit ESXi-Hypervisor. Darüber gelangen Erpressungstrojaner auf Computer.

Derzeit haben Angreifer Server mit dem VMware-Hypervisor ESXi im Visier. Sind Attacken erfolgreich, stufen sie sich zum Admin hoch und installieren Ransomware. Sicherheitsupdates sind verfügbar.

Admin-Sicherheitslücke

Vor den Attacken warnen Sicherheitsforscher von Microsoft in einem Bericht. In welchem Umfang die Angriffe ablaufen, führen sie aber nicht konkret aus. Daran sind aber mehrere Ransomwaregruppen wie Octo Tempet und Storm-0506 beteiligt, die Trojaner wie Akira und Black Basta installieren. Diese verschlüsseln Daten und fordern Lösegeld ein.

Die ausgenutzte Sicherheitslücke (CVE-2024-37085 "mittel") betrifft VMware ESXi. Die Entwickler geben an, das Sicherheitsproblem in der Version ESXi80U3-24022510 gelöst zu haben. Als Voraussetzung für eine Attacke müssen Angreifer Zugriff auf das Active Directory mit einem ESXi-Host haben. Ist das gegeben, können sie ohne weitere Authentifizierung an der Lücke ansetzen und sich zum Admin machen.

Die Attacke

Microsoft gibt an, drei Angriffsmuster dokumentiert zu haben. Da aufgrund der Schwachstelle die ESXi-Authentifizierung umgehbar ist, erstellen Angreifer derzeit die Gruppe "ESX Admins" und stufen sich darin zum Admin hoch. Das gelingt über folgende Befehle:

net group “ESX Admins” /domain /add

net group “ESX Admins” username /domain /add

Alternativ können Angreifer eine bestehende Gruppe in "ESX Admins" umbenennen. Wenn Admins einer Gruppe Rechte entziehen, werden diese Rechte nicht sofort entfernt und Angreifer können sie weiterhin missbrauchen. Diese Methode hat Microsoft aber eigenen Angaben zufolge bisher nicht beobachtet.

Schutz vor Angriffen

Um sich vor Attacken zu schützen, müssen Admins das Sicherheitsupdate zügig installieren. Außerdem sollten sie Zugriffe so weit es geht einschränken, sodass nur ausgewählte Nutzer Zugang haben. Zudem sollte neben starken Passwörtern auch eine Multi-Faktor-Authentifizierung (MFA) zum Einsatz kommen. Überdies sollten Admins jederzeit die Logs im Auge behalten, um schnell reagieren zu können.

Gefunden unter https://www.heise.de/news/Jetzt-patchen-Ransomware-Attacken-auf-VMware-ESXi-Server-beobachtet-9817989.html