Alert!

Jetzt patchen! Ransomware-Attacken auf VMware ESXi-Server beobachtet

Sicherheitsforscher warnen vor laufenden Attacken auf Systeme mit ESXi-Hypervisor. DarĂĽber gelangen Erpressungstrojaner auf Computer.

In Pocket speichern vorlesen Druckansicht 24 Kommentare lesen
Ransomware auf einem Rechner

Ransomware-Nachricht auf einem Laptop.

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.
Inhaltsverzeichnis

Derzeit haben Angreifer Server mit dem VMware-Hypervisor ESXi im Visier. Sind Attacken erfolgreich, stufen sie sich zum Admin hoch und installieren Ransomware. Sicherheitsupdates sind verfĂĽgbar.

Vor den Attacken warnen Sicherheitsforscher von Microsoft in einem Bericht. In welchem Umfang die Angriffe ablaufen, führen sie aber nicht konkret aus. Daran sind aber mehrere Ransomwaregruppen wie Octo Tempet und Storm-0506 beteiligt, die Trojaner wie Akira und Black Basta installieren. Diese verschlüsseln Daten und fordern Lösegeld ein.

Die ausgenutzte Sicherheitslücke (CVE-2024-37085 "mittel") betrifft VMware ESXi. Die Entwickler geben an, das Sicherheitsproblem in der Version ESXi80U3-24022510 gelöst zu haben. Als Voraussetzung für eine Attacke müssen Angreifer Zugriff auf das Active Directory mit einem ESXi-Host haben. Ist das gegeben, können sie ohne weitere Authentifizierung an der Lücke ansetzen und sich zum Admin machen.

Microsoft gibt an, drei Angriffsmuster dokumentiert zu haben. Da aufgrund der Schwachstelle die ESXi-Authentifizierung umgehbar ist, erstellen Angreifer derzeit die Gruppe "ESX Admins" und stufen sich darin zum Admin hoch. Das gelingt ĂĽber folgende Befehle:

net group “ESX Admins” /domain /add

net group “ESX Admins” username /domain /add

Alternativ können Angreifer eine bestehende Gruppe in "ESX Admins" umbenennen. Wenn Admins einer Gruppe Rechte entziehen, werden diese Rechte nicht sofort entfernt und Angreifer können sie weiterhin missbrauchen. Diese Methode hat Microsoft aber eigenen Angaben zufolge bisher nicht beobachtet.

Um sich vor Attacken zu schützen, müssen Admins das Sicherheitsupdate zügig installieren. Außerdem sollten sie Zugriffe so weit es geht einschränken, sodass nur ausgewählte Nutzer Zugang haben. Zudem sollte neben starken Passwörtern auch eine Multi-Faktor-Authentifizierung (MFA) zum Einsatz kommen. Überdies sollten Admins jederzeit die Logs im Auge behalten, um schnell reagieren zu können.

(des)