微軟于7月29日發(fā)布警告，稱勒索軟件團(tuán)伙正在積極利用 VMware ESXi 身份驗(yàn)證繞過漏洞進(jìn)行攻擊。

該漏洞被追蹤為 CVE-2024-37085，由微軟安全研究人員 Edan Zwick、Danielle Kuznets Nohi 和 Meitar Pinto 發(fā)現(xiàn)，并在 6 月 25 日發(fā)布的 ESXi 8.0 U3 更新中進(jìn)行了修復(fù)。

研究稱，該漏洞能讓攻擊者將新用戶添加到由他們創(chuàng)建的“ESX 管理員”組中，并自動(dòng)獲得對 ESXi 虛擬機(jī)監(jiān)控程序的完全管理權(quán)限。

雖然成功實(shí)施攻擊需要對目標(biāo)設(shè)備和用戶交互具有高權(quán)限，但微軟表示，已有幾個(gè)勒索軟件團(tuán)伙利用漏洞完全掌控了管理員權(quán)限，竊取存儲(chǔ)在托管虛擬機(jī)上的敏感數(shù)據(jù)，在受害者的網(wǎng)絡(luò)中橫向移動(dòng)，并加密 ESXi 虛擬機(jī)管理程序的文件系統(tǒng)。

微軟已確定至少三種可用于利用 CVE-2024-37085 漏洞的策略，包括：

• 將“ESX Admins”組添加到域并添加用戶。
• 將域中的任何組重命名為“ESX Admins”，并將用戶添加到組或使用現(xiàn)有組成員。
• ESXi 虛擬機(jī)管理程序特權(quán)刷新（為其他組分配管理員權(quán)限不會(huì)將其從“ESX 管理員”組中移除）。

到目前為止，該漏洞已被被追蹤為 Storm-0506、Storm-1175、Octo Tempest 和 Manatee Tempest 的勒索軟件運(yùn)營商在野外利用，并在攻擊中部署了Akira和Black Basta勒索軟件。例如，Storm-0506 在利用 CVE-2024-37085 漏洞提升權(quán)限后，在一家北美工程公司的 ESXi 虛擬機(jī)管理程序上部署了 Black Basta 勒索軟件。

以Storm-0506為例的ESXi 攻擊鏈

由于 ESXi 虛擬機(jī) （VM） 具有高效的資源處理能力，目前已有許多企業(yè)開始使用該產(chǎn)品來托管關(guān)鍵應(yīng)用程序和存儲(chǔ)，這也導(dǎo)致針對企業(yè)組織的 ESXi 虛擬機(jī)管理程序的攻擊趨勢越來越明顯。微軟警告稱，在過去三年中，針對 ESXi 虛擬機(jī)管理程序并對其造成影響的微軟事件響應(yīng)（Microsoft IR）事件數(shù)量增加了一倍多。

攻擊者一旦攻破虛擬機(jī)，不僅可以對企業(yè)正常業(yè)務(wù)開展造成巨大破環(huán)，還能將存儲(chǔ)在虛擬機(jī)管理程序上的文件和備份進(jìn)行加密，從而嚴(yán)重限制企業(yè)恢復(fù)數(shù)據(jù)的能力。