.png)
.png)
.png)
.png)
.
Você tem seu hypervisor VMware ESXi unido ao Active Directory? Bem, as últimas notícias da Microsoft servem como um lembrete de que você pode não querer fazer isso, dada a vulnerabilidade recentemente corrigida que deixou os especialistas em segurança profundamente preocupados.
O CVE-2024-37085 tem apenas uma classificação CVSS de 6,8, mas tem sido usado como uma técnica pós-comprometimento por muitos dos grupos de ransomware mais famosos do mundo e seus afiliados, incluindo Black Basta, Akira, Medusa e Octo Tempest/Scattered Spider.
A vulnerabilidade permite que invasores que tenham os privilégios necessários para criar grupos do AD – o que não é necessariamente um administrador do AD – obtenham controle total de um hipervisor ESXi.
Isso é ruim por razões óbvias. Ter acesso irrestrito a todas as VMs em execução e servidores hospedados críticos oferece aos invasores a capacidade de roubar dados, mover-se lateralmente pela rede da vítima ou apenas causar caos ao encerrar processos e criptografar o sistema de arquivos.
O “como” do exploit é o que causou tanto rebuliço nos círculos cibernéticos. Existem três maneiras de explorar o CVE-2024-37085, mas a falha lógica subjacente no ESXi que os habilitou é o que atraiu tanta atenção.
Basicamente, se um invasor conseguisse adicionar um grupo do AD chamado “ESX Admins”, qualquer usuário adicionado a ele seria considerado um administrador por padrão.
É isso. Essa é a façanha.
“Este método é explorado ativamente na natureza pelos atores de ameaças acima mencionados”, alertou a Microsoft ontem à noite. “Neste método, se o grupo ‘ESX Admins’ não existir, qualquer usuário de domínio com a capacidade de criar um grupo pode escalar privilégios para acesso administrativo total aos hipervisores ESXi ingressados no domínio criando tal grupo e, em seguida, adicionando a si mesmo, ou outros usuários sob seu controle, ao grupo.”
Outra maneira de fazer isso seria renomear um grupo AD existente para o mesmo nome “ESX Admins” e adicionar a si mesmos a ele. Boom – privilégios de administrador. Este método não foi usado na prática, de acordo com a Microsoft, mas é igualmente viável de ser executado.
O método final descrito pela Microsoft diz mais respeito a como a falha lógica persiste mesmo se um administrador de rede atribuir outro grupo do AD para gerenciar o hipervisor. Enquanto um grupo chamado “ESX Admins” existir, os privilégios de administrador dos usuários adicionados a ele não serão imediatamente removidos, deixando-os abertos para abuso.
A Broadcom disse em um comunicado de segurança que já havia emitido um patch para o CVE-2024-37085 em 25 de junho, mas só atualizou o Cloud Foundation em 23 de julho, o que talvez explique por que o relatório da Microsoft só foi publicado agora.
Jake Williams, vice-presidente de pesquisa e desenvolvimento da Hunter Strategy e membro do corpo docente da IANS, criticou a abordagem da Broadcom à segurança, especialmente no que diz respeito à gravidade atribuída à vulnerabilidade.
Ele disse: “Então você cria um grupo do AD ‘ESX Admins’ e, por padrão, o VMware fica tipo ‘ah, então você é o administrador agora?’
“E então, para deixar tudo ainda mais estúpido, a VMware classifica isso como uma gravidade moderada, apesar de saber que os TAs de ransomware estão usando isso ativamente?
“Só posso concluir que a Broadcom não leva a segurança a sério. Não sei como você conclui qualquer outra coisa. Ah, também, não há patches planejados para o ESXi 7.0.”
Muitos comentaristas questionaram por que uma organização associaria seus hosts ESXi ao AD em primeiro lugar, apesar de ser uma prática relativamente comum.
“Por que os servidores ESX são unidos a um diretório ativo em primeiro lugar? Porque é conveniente gerenciar o acesso administrativo aos servidores usando uma plataforma centralizada em grandes corporações”, disse o Dr. Martin J Kraemer, defensor da conscientização sobre segurança na KnowBe4. O registro.
“Isso é muito comum, mas também cria desafios. Em muitos ambientes, o próprio AD pode ser executado em uma VM. A inicialização a frio pode ser um pesadelo. Um problema do ovo e da galinha. Como você pode iniciar o ESX sem o AD enquanto o AD &eacut