Microsoft에서는 VMware ESXi 하이퍼바이저 사용자에게 제품이 실행되는 서버에 대한 전체 관리 권한을 부여하는 랜섬웨어 그룹의 지속적인 공격을 막기 위한 즉각적인 조치를 취할 것을 촉구하고 있습니다.
CVE-2024-37085로 추적된 이 취약점은 이미 대상 서버에서 제한된 시스템 권한을 얻은 공격자가 ESXi 하이퍼바이저의 전체 관리 제어권을 얻을 수 있도록 합니다. Storm-0506, Storm-1175, Octo Tempest, Manatee Tempest를 포함한 여러 랜섬웨어 신디케이트와 제휴한 공격자는 수개월 동안 수많은 침해 후 공격에서 이 결함을 악용해 왔습니다. 즉, 제한된 액세스가 다른 수단을 통해 이미 획득된 후를 의미합니다.
기본적으로 할당된 관리자 권한
하이퍼바이저의 전체 관리 제어는 공격자에게 파일 시스템 암호화 및 호스팅 서버 다운을 포함한 다양한 기능을 제공합니다. 하이퍼바이저 제어는 공격자가 호스팅된 가상 머신에 액세스하여 데이터를 빼내거나 네트워크 내에서 발판을 확장할 수 있도록 허용할 수도 있습니다. Microsoft는 공격을 조사하는 정상적인 과정에서 악용되는 취약성을 발견하고 VMware에 보고했습니다. VMware 모회사 Broadcom 패치됨 목요일의 취약점.
Microsoft 보안 연구원들은 Storm-0506, Storm-1175, Octo Tempest, Manatee Tempest와 같은 랜섬웨어 운영자들이 수많은 공격에서 사용하는 새로운 침해 후 기술을 확인했습니다. Microsoft 위협 인텔리전스 팀 구성원 월요일에 썼다. “여러 사례에서 이 기술을 사용하면 Akira와 Black Basta 랜섬웨어가 배포되었습니다.”
게시물은 놀라운 발견을 기록했습니다. ESXi에서 하이퍼바이저 권한을 무제한 관리자로 승격하는 것은 “ESX Admins”라는 새 도메인 그룹을 만드는 것만큼 간단했습니다. 그 이후로 그룹에 할당된 모든 사용자(새로 만든 사용자 포함)는 자동으로 관리자가 되었고 인증은 필요 없었습니다. Microsoft 게시물에서 설명한 대로:
취약점에 대한 추가 분석 결과, Active Directory 도메인에 가입된 VMware ESXi 하이퍼바이저는 기본적으로 “ESX Admins”라는 도메인 그룹의 모든 멤버를 전체 관리 액세스 권한이 있는 것으로 간주합니다. 이 그룹은 Active Directory에 기본 제공되는 그룹이 아니며 기본적으로 존재하지 않습니다. ESXi 하이퍼바이저는 서버가 도메인에 가입될 때 이러한 그룹이 존재하는지 확인하지 않으며, 원래 그룹이 존재하지 않았더라도 이 이름을 가진 그룹의 모든 멤버를 전체 관리 액세스 권한이 있는 것으로 취급합니다. 또한 그룹의 멤버십은 보안 식별자(SID)가 아닌 이름으로 결정됩니다.
다음 두 가지 명령만으로 새로운 도메인 그룹을 만들 수 있습니다.
- net 그룹 “ESX 관리자” /도메인 /추가
- net 그룹 “ESX Admins” 사용자 이름 /도메인 /추가
그들은 작년에 랜섬웨어 공격자들이 ESXi 하이퍼바이저를 공격 대상으로 삼아 “몇 번의 클릭”만으로 데이터를 대량으로 암호화할 수 있게 했다고 말했습니다. 하이퍼바이저 파일 시스템을 암호화함으로써, 그 위에 호스팅된 모든 가상 머신도 암호화됩니다. 연구원들은 또한 많은 보안 제품이 ESXi 하이퍼바이저에 대한 가시성이 제한적이고 보호 기능이 거의 없다고 말했습니다.
취약점을 악용하기 쉽다는 점과 VMware가 이 취약점에 부여한 중간 심각도 등급(10점 만점에 6.8점)은 일부 숙련된 보안 전문가로부터 비판을 불러일으켰습니다.
ESXi는 베어 메탈 하이퍼바이저라고도 알려진 유형 1 하이퍼바이저로, 물리적 서버 위에 직접 설치된 자체 운영 체제입니다. 유형 2 하이퍼바이저와 달리 유형 1 하이퍼바이저는 Windows나 Linux와 같은 운영 체제 위에서 실행되지 않습니다. 그러면 게스트 운영 체제가 그 위에서 실행됩니다. ESXi 하이퍼바이저를 제어하면 공격자는 엄청난 힘을 얻습니다.
Microsoft 연구원들은 Storm-0506 위협 그룹이 Black Basta라는 랜섬웨어를 설치하기 위해 관찰한 한 가지 공격을 설명했습니다. 중간 단계로 Storm-0506은 Qakbot이라는 맬웨어를 설치하고 이전에 수정된 Windows 취약성을 악용하여 Cobalt Strike와 Mimikatz라는 두 가지 해킹 도구를 설치했습니다. 연구원들은 다음과 같이 썼습니다.
올해 초 북미의 엔지니어링 회사가 Storm-0506의 Black Basta 랜섬웨어 배포로 피해를 입었습니다. 이 공격 중에 위협 행위자는 CVE-2024-37085 취약성을 사용하여 조직 내의 ESXi 하이퍼바이저에 대한 권한을 상승시켰습니다.
위협 행위자는 Qakbot 감염을 통해 조직에 대한 초기 접근 권한을 얻었고, 그 후 Windows CLFS 취약성(CVE-2023-28252)을 악용하여 영향을 받는 기기에서 권한을 상승시켰습니다. 그런 다음 위협 행위자는 Cobalt Strike와 Pypykatz(Mimikatz의 Python 버전)를 사용하여 두 도메인 관리자의 자격 증명을 훔치고 네 개의 도메인 컨트롤러로 측면 이동했습니다.
침해된 도메인 컨트롤러에서 위협 행위자는 사용자 지정 도구와 SystemBC 임플란트를 사용하여 지속성 메커니즘을 설치했습니다. 또한 행위자는 측면 이동을 위한 또 다른 방법으로 여러 장치에 원격 데스크톱 프로토콜(RDP) 연결을 무차별 대입하려고 시도한 다음 Cobalt Strike와 SystemBC를 다시 설치하는 것으로 관찰되었습니다. 그런 다음 위협 행위자는 감지를 피하기 위해 다양한 도구를 사용하여 Microsoft Defender Antivirus를 조작하려고 시도했습니다.
Microsoft는 위협 행위자가 도메인에 “ESX Admins” 그룹을 만들고 여기에 새 사용자 계정을 추가한 것을 관찰했습니다. 이러한 작업 후 Microsoft는 이 공격으로 인해 ESXi 파일 시스템이 암호화되고 ESXi 하이퍼바이저에서 호스팅된 가상 머신의 기능이 손실되는 것을 관찰했습니다. 또한 행위자는 PsExec를 사용하여 ESXi 하이퍼바이저에 호스팅되지 않은 장치를 암호화하는 것으로 관찰되었습니다. Microsoft Defender Antivirus와 Microsoft Defender for Endpoint의 자동 공격 중단은 이러한 암호화 시도를 장치에서 중단할 수 있었습니다. Defender for Endpoint를 위한 통합 에이전트 설치됨.
ESXi 하이퍼바이저에 대한 관리 책임이 있는 사람은 이 취약성을 조사하고 패치하는 것을 우선시해야 합니다. Microsoft 게시물은 ESX 관리자 그룹에 대한 의심스러운 수정이나 이 취약성이 악용되고 있다는 다른 잠재적 징후를 식별하는 여러 가지 방법을 제공합니다.