Falha no VMware ESXi
30 de Julho de 2024

Uma falha de segurança recentemente corrigida que afetava os hipervisores VMware ESXi tem sido ativamente explorada por "vários" grupos de ransomware para obter permissões elevadas e implantar malware de criptografia de arquivos.

Os ataques envolvem a exploração do CVE-2024-37085 (pontuação CVSS: 6.8), uma falha de bypass de autenticação de integração com Active Directory que permite a um atacante obter acesso administrativo ao host.

"Um ator mal-intencionado com permissões suficientes no Active Directory (AD) pode obter acesso total a um host ESXi que foi previamente configurado para usar AD para gerenciamento de usuários, recriando o grupo de AD configurado ('ESXi Admins' por padrão) após ter sido excluído do AD," VMware, agora uma propriedade da Broadcom, observou em um comunicado divulgado no final de junho de 2024.

Em outras palavras, escalar privilégios no ESXi para administrador era tão simples quanto criar um novo grupo de AD chamado "ESX Admins" e adicionar qualquer usuário a ele, ou renomear qualquer grupo no domínio para "ESX Admins" e adicionar um usuário ao grupo ou usar um membro de grupo existente.

A Microsoft, em uma nova análise publicada em 29 de julho, disse que observou operadores de ransomware como Storm-0506, Storm-1175, Octo Tempest e Manatee Tempest aproveitando a técnica pós-compromisso para implantar Akira e Black Basta.

"Hipervisores VMware ESXi vinculados a um domínio Active Directory consideram qualquer membro de um grupo de domínio chamado 'ESX Admins' com acesso administrativo total por padrão", os pesquisadores Danielle Kuznets Nohi, Edan Zwick, Meitar Pinto, Charles-Edouard Bettan e Vaibhav Deshmukh disseram.

Este grupo não é um grupo integrado no Active Directory e não existe por padrão.

Hipervisores ESXi não validam que tal grupo exista quando o servidor é integrado a um domínio e ainda tratam qualquer membros de um grupo com este nome com acesso administrativo total, mesmo se o grupo originalmente não existisse.

Em um ataque realizado pelo Storm-0506 contra uma firma de engenharia não nomeada na América do Norte, o ator de ameaça explorou a vulnerabilidade para ganhar permissões elevadas nos hipervisores ESXi após ter obtido um ponto de apoio inicial usando uma infecção por QakBot e explorando outra falha no Driver do Sistema de Arquivos de Log Comum do Windows (CLFS) ( CVE-2023-28252 , pontuação CVSS: 7.8) para escalamento de privilégio.

As fases subsequentes envolveram a implantação de Cobalt Strike e Pypykatz, uma versão em Python do Mimikatz, para roubar credenciais de administrador de domínio e mover-se lateralmente pela rede, seguido pela inserção do implante SystemBC para persistência e abusando do acesso de administrador do ESXi para implantar Black Basta.

"O ator também foi observado tentando forçar a entrada em conexões do Protocolo de Desktop Remoto (RDP) para vários dispositivos como outro método para movimento lateral, e, em seguida, novamente instalando Cobalt Strike e SystemBC," os pesquisadores disseram.

O ator de ameaça, então, tentou adulterar o Antivírus Microsoft Defender usando várias ferramentas para evitar detecção.

Este desenvolvimento ocorre enquanto a Mandiant, propriedade do Google, revelou que um grupo de ameaças motivado financeiramente chamado UNC4393 está usando acesso inicial obtido via um backdoor em C/C++ codinome ZLoader (aka DELoader, Terdot, ou Silent Night) para entregar Black Basta, afastando-se de QakBot e DarkGate.

"UNC4393 demonstrou disposição para cooperar com múltiplos clusters de distribuição para completar suas ações nos objetivos," a firma de inteligência de ameaça disse.

Essa onda mais recente de atividade do Silent Night, começando no início deste ano, tem sido primordialmente entregue via malvertising.

Isso marcou uma mudança notável para longe do phishing como o único meio conhecido de acesso inicial de UNC4393.

A sequência de ataque envolve usar o acesso inicial para soltar a Cobalt Strike Beacon e uma combinação de ferramentas personalizadas e prontamente disponíveis para realizar reconhecimento, sem mencionar a dependência de RDP e Server Message Block (SMB) para movimento lateral.

A persistência é alcançada por meio do SystemBC.

ZLoader, que ressurgiu após um longo intervalo no final do ano passado, tem sido objeto de desenvolvimento ativo, com novas variantes do malware sendo propagadas via um backdoor PowerShell referido como PowerDash, de acordo com descobertas recentes da equipe de inteligência cibernética do Walmart.

Ao longo dos últimos anos, atores de ransomware demonstraram um apetite por adotar técnicas novas para maximizar impacto e evadir detecção, visando cada vez mais hipervisores ESXi e aproveitando falhas de segurança recém-divulgadas em servidores voltados para a internet para violar alvos de interesse.

Qilin (aka Agenda), por exemplo, foi originalmente desenvolvido na linguagem de programação Go, mas desde então foi refeito usando Rust, indicando uma mudança para a construção de malware usando linguagens de programação seguras em memória.

Ataques recentes envolvendo ransomware foram encontrados aproveitando fraquezas conhecidas em softwares Fortinet e Veeam Backup & Replication para acesso inicial.

"O ransomware Qilin é capaz de autodistribuição por uma rede local," a Group-IB disse em uma análise recente, adicionando que ele também está equipado para "realizar autodistribuição usando o VMware vCenter." Outro malware notável empregado em ataques de ransomware Qilin é uma ferramenta apelidada de Killer Ultra que é projetada para desativar softwares populares de detecção e resposta a endpoints (EDR) executados no host infectado, assim como apagar todos os registros de eventos do Windows para remover todos os indicadores de comprometimento.

Recomenda-se que as organizações instalem as últimas atualizações de software, pratiquem higiene de credenciais, imponham autenticação de dois fatores e tomem medidas para proteger ativos críticos usando procedimentos de monitoramento apropriados e planos de backup e recuperação.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...