Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

Ransomwareangriffe: Hacker nutzen ESXi-Lücke für Admin-Zugriff aus

Möglich sind die Angriffe aufgrund einer unsicheren Standardkonfiguration. Mitglieder der AD-Gruppe "ESX Admins" erhalten automatisch Adminrechte.
/ Marc Stöckel
9 Kommentare News folgen (öffnet im neuen Fenster)
Mehrere Ransomwarebanden nutzen eine Schwachstelle in VMware ESXi aus. (Bild: pixabay.com / Life-Of-Pix)
Mehrere Ransomwarebanden nutzen eine Schwachstelle in VMware ESXi aus. Bild: pixabay.com / Life-Of-Pix

Sicherheitsforscher von Microsoft Threat Intelligence haben eine Schwachstelle in VMware ESXi entdeckt, die bereits aktiv für Ransomwareangriffe ausgenutzt wird und es den Angreifern ermöglicht, sich administrative Rechte auf ESXi-Hosts zu verschaffen. Damit das gelingt, ist allerdings vorab ein Zugriff auf das Active Directory (AD) der Zielorganisation erforderlich.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Berliner Landesnetz Standardnetzzugang Koordinator*in IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)
Netzwerkadministrator*in (m/w/div) Deutsche Rentenversicherung Bund, Berlin (öffnet im neuen Fenster)
Senior Technologist Surface-Technology (all genders) Leica Camera AG, Wetzlar (öffnet im neuen Fenster)
Ausbildung Kaufmann für Digitalisierungsmanagement (m/w/d) Sparkasse Forchheim, Forchheim (öffnet im neuen Fenster)
Senior Investigator Forensic Services (m/w/d) Schwarz Corporate Solutions, Neckarsulm (öffnet im neuen Fenster)
Trainee - Finance Development Program (all genders) (2 Jahre befristet / Vollzeit) AbbVie Deutschland GmbH & Co. KG, Ludwigshafen am Rhein (öffnet im neuen Fenster)
Stabsstellenleitung (gn*) Enterprise Architecture Management Universitätsklinikum Münster, Münster (öffnet im neuen Fenster)
Manager Revenue & Margin Assurance (m/w/d) DNS:NET Internet Service GmbH, Berlin (öffnet im neuen Fenster)

Nach Angaben der Microsoft-Forscher(öffnet im neuen Fenster) erstellen die Angreifer im AD eine Gruppe mit der Bezeichnung "ESX Admins" und fügen dort anschließend einen unter ihrer Kontrolle befindlichen Benutzer hinzu. Damit erhalten sie automatisch Admin-Zugriff auf per AD verwaltete ESXi-Hosts, da die Mitglieder der genannten Gruppe aufgrund der Sicherheitslücke standardmäßig als Administratoren eingestuft werden.

Die Schwachstelle ist als CVE-2024-37085(öffnet im neuen Fenster) registriert und erreicht mit einem CVSS-Wert von 6,8 lediglich einen mittleren Schweregrad. Für ESXi 8.0 hat Broadcom einen Patch bereitgestellt(öffnet im neuen Fenster) . Version 7.0 ist zwar auch von der Sicherheitslücke betroffen, erhält aber laut Hersteller keinen Patch. Administratoren, die ihre Systeme schützen wollen, werden in diesem Fall lediglich auf einen Workaround verwiesen(öffnet im neuen Fenster) .

Laufende Angriffe auf ESXi-Hosts

Microsofts Sicherheitsforscher beobachteten die Ausnutzung von CVE-2024-37085 bei mehreren Hackergruppen. Konkret benennen sie in ihrem Bericht die Gruppen Storm-0506, Storm-1175, Octo Tempest und Manatee Tempest. Diese sollen die Schwachstelle jeweils eingesetzt haben, um ESXi-Systeme mit allen darauf gehosteten VMs mit Ransomware wie Akira oder Black Basta zu verschlüsseln, Daten zu exfiltrieren und sich innerhalb des Zielnetzwerkes fortzubewegen.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Die Forscher betonen, dass mit der Sicherheitslücke jeder Nutzer, der die Berechtigung hat, AD-Gruppen zu erstellen oder umzubenennen, sämtliche mit der jeweiligen Domäne verbundenen ESXi-Hypervisoren übernehmen kann. Dafür braucht es nicht zwingend den Zugriff auf ein Domain-Admin-Konto, wie auch der unabhängige Sicherheitsforscher Kevin Beaumont in einem Mastodon-Beitrag hervorhebt(öffnet im neuen Fenster) .

Zur Startseite 9 Kommentare

Relevante Themen

SecuritySicherheitslückeVerschlüsselungUpdates & PatchesCybercrimeDatensicherheitVirtualisierungHackerRansomware