Microsoft araştırmacıları, saldırgınların fidye zararlıları ile domain’e dahil edilmiş ESXi hypervisorlar üzerinde tam yönetici yetkisi elde etmek için kullandıklarını açıkladı.
CVE-2024-37085 olarak tanımlanan zafiyet varsayılan olarak ESXi hypervisor üzerinde tam erişim verilen domain grublarını etkiliyor. Microsoft bu bulgularını Microsoft Security Vulnerability Research (MSVR) aracılığıyla VMware’e bildirdi ve VMware de güvenlik güncellemesi yayınladı.
Güvenlik Açığı ve İstismar Yöntemleri
Microsoft güvenlik araştırmacıları, fidye yazılım grubu Storm-0506, Storm-1175, Octo Tempest ve Manatee Tempest tarafından kullanılan yeni bir post-compromise tekniği tespit etti. Bu teknik, Akira ve Black Basta fidye yazılımı dağıtımlarına yol açtı. Teknik, aşağıdaki komutları çalıştırıyor ve bu da domain’de “ESX Admins” adlı bir grup oluşturulmasına ve bir kullanıcının bu gruba eklenmesine neden oluyor:
net group “ESX Admins” /domain /add
net group “ESX Admins” username /domain /addİstismar Yöntemleri
Microsoft araştırmacıları güvenlik açığını istismar etmenin üç yöntemini keşfetti:
- “ESX Admins” grubunu domain’e eklemek ve bir kullanıcıyı bu gruba eklemek.
- Domain’deki herhangi bir grubu “ESX Admins” olarak yeniden adlandırmak ve bir kullanıcıyı bu gruba eklemek veya mevcut bir grup üyesini kullanmak.
- ESXi hypervisor ayrıcalıklarını yeniden düzenlemek: ESXi hypervisor için yönetim grubunu başka bir gruba atasa bile, “ESX Admins” grubunun tam yönetici ayrıcalıkları hemen kaldırılmaz ve saldırganlar bunu istismar edebilir.
Fidye Yazılımı Operatörlerinin Hedefi ESXi Hypervisorlar
Geçtiğimiz yıl boyunca saldırganlar ESXi hypervisorları hedef alarak toplu şifreleme gerçekleştirdiği gözlemlendi. ESXi, birçok kurumsal ortamda kullanılan bir ürün ve son yıllarda fidye yazılımları için tercih edilen bir hedef haline gelmiş durumda.
Koruma ve Azaltma Yönergeleri
Microsoft, domain’e dahil edilmiş ESXi hypervisorlar kullanan organizasyonlar için aşağıdaki korunma yöntemlerini önerdi.
- Yazılım güncellemelerini yükleyin: VMware tarafından yayınlanan en son güvenlik güncellemelerini tüm domain’e dahil edilmiş ESXi hypervisorlarına yükleyin.
- “ESX Admins” grubunun domain’de mevcut olduğundan ve düzenli olarak monitoring edildiğinden emin olun.
- Bu grubun erişimini ESXi hypervisor üzerinden erişimini engelleyin.
- Yönetici grubunu ESXi hypervisor’da farklı bir grubla değiştirin.
- Yeni eklenen grubun düzenli olarak XDR/SIEM üzerinden analiz edin.
- ESXi loglarını SIEM üzerinden analiz edin.
- Çok faktörlü kimlik doğrulama (MFA) kullanın.
