Bulut Güvenliği, Dolandırıcılık Yönetimi ve Siber Suç, Fidye Yazılımı
Hata Saldırganların Tam Yönetici Ayrıcalıklarına Sahip Bir Gruba Yeni Kullanıcılar Eklemesine İzin Veriyor
Prajeet Nair (@prajeetskonuşuyor) •
30 Temmuz 2024
Fidye yazılımı korsanları, Microsoft’un Active Directory’sine bağlı VMWare ESXi hipervizörlerinde tam yönetici ayrıcalıkları elde etmenin bir yolunu keşfettiler ve bu bulgu siber suçluların gasp taleplerine yol açtı.
Ayrıca bakınız: Küçük İşletme Güvenlik Duvarı Kılavuzu
CVE-2024-37085 olarak izlenen güvenlik açığı, Active Directory’ye erişimi olan bilgisayar korsanlarının varsayılan olarak yönetici ayrıcalıklarına sahip “ESX Admins” adlı bir grup oluşturmasına olanak tanır. ESXi, hipervizörler oluşturmak ve çalıştırmak için çıplak metal bir hipervizördür.
Teknoloji devi Pazartesi günü yaptığı açıklamada, “Gruptaki üyelik isme göre belirlenir, güvenlik tanımlayıcısına göre değil” ifadesini kullandı. VMware, güvenlik açığını 10 puanlık CVSS ölçeğinde 5,3 ile 6,8 arasında derecelendirdi ve yamalar ve geçici çözüm önerileri yayınladı.
Storm-0506, Storm-1175, Octo Tempest ve Manatee Tempest gibi fidye yazılımı operatörleri, Black Basta ve Akira gibi fidye yazılımı varyantlarını dağıtmak için bu güvenlik açığından yararlanıyor.
Active Directory etki alanına katılan VMware ESXi hipervizörleri, “ESX Admins” adlı etki alanı grubunun herhangi bir üyesinin, böyle bir grubun varlığını doğrulamadan, varsayılan olarak tam yönetici erişimine sahip olduğunu düşünür.
Dikkat çekici bir olayda, Storm-0506 bu yılın başlarında Black Basta’yı konuşlandırdı. Finansal olarak motive olmuş bilgisayar korsanları, ESXi ayrıcalıklarını yükseltmek için bu güvenlik açığını kullanarak Kuzey Amerika’daki bir mühendislik firmasının güvenliğini tehlikeye attı.
Saldırganlar, Qakbot enfeksiyonu yoluyla ilk erişimi elde etti ve etkilenen cihazlarda ayrıcalıkları artırmak için CVE-2023-28252 olarak izlenen bir Windows CLFS güvenlik açığından yararlandı.
Alan yöneticisi kimlik bilgilerini çalmak ve ağ üzerinde yatay olarak hareket etmek için Cobalt Strike ve Pypykatz gibi araçlar kullandılar.
Saldırganlar, etki alanı denetleyicilerini ele geçirdikten sonra “ESX Admins” grubunu oluşturdular ve bu gruba yeni bir kullanıcı eklediler; bu da sonuç olarak ESXi dosya sisteminin şifrelenmesine ve barındırılan sanal makinelerin bozulmasına yol açtı.
“Bu finansal olarak motive olmuş gruplar, mümkün olduğunca çok sayıda ana bilgisayarı şifrelemek veya kilitlemek için hızlı davranıyor ve bu da yüklü bir fidye ödemesi umuduyla kurban organizasyon üzerindeki etkiyi en üst düzeye çıkarıyor,” diyor Tenable’da bir personel araştırma mühendisi olan Scott Caveza. “Giriş için bu önemli engele rağmen, fidye yazılımı gruplarının ilk erişimi elde ettiklerinde ayrıcalıkları artırma ve saldırı yollarını ilerletme yeteneklerini ve kararlılıklarını hafife alamayız.”