Ransomware w środowisku zwirtualizowanym

Cyberprzestępcy wykorzystują luki w oprogramowaniu VMware ESXi w celu infekowania komputerów za pomocą ransomware.

Chociaż wirtualizacja znacząco zmniejsza ryzyko pewnych cyberzagrożeń, nie jest już złotym środkiem, lepszym niż jakakolwiek inna praktyka ochronna. Jak poinformował niedawno serwis ZDNet, atak z użyciem oprogramowania ransomware może uderzyć w infrastrukturę wirtualną, na przykład poprzez dziurawą wersję programu VMware ESXi.

Korzystanie z maszyn wirtualnych to sposób na zwiększenie bezpieczeństwa. Jeśli nie znajdują się na nich informacje wrażliwe, pozwalają one na przykład na złagodzenie szkód będących skutkiem infekcji. Gdy użytkownik przypadkowo aktywuje na maszynie wirtualnej trojana, wystarczy zainstalować jej nowy obraz, aby wycofać wszelkie szkodliwe zmiany.

Jednak ransomware o nazwie RansomExx wykorzystuje konkretne luki w zabezpieczeniach oprogramowania VMware ESXi, aby zaatakować wirtualne dyski twarde. Jak zauważono, tych samych metod używa ugrupowanie Darkside, a twórcy trojana BabukLocker sugerują, że potrafią szyfrować ESXi.

O jakich lukach w zabezpieczeniach mowa?

Hipernadzorca VMware ESXi umożliwia różnym maszynom wirtualnym przechowywanie informacji na jednym serwerze poprzez protokół Open SLP (ang. Service Layer Protocol), który może między innymi wykrywać urządzenia sieciowe bez konfiguracji wstępnej. Wspomniane dwie luki w zabezpieczeniach noszą nazwę CVE-2019-5544 oraz CVE-2020-3992; obie są znane od dawna, także cyberprzestępcom. Pierwsza z nich jest używana do realizowania ataków prowadzących do przepełnienia sterty, a druga należy do rodzaju Use-After-Free — jest związana z nieprawidłowym użyciem pamięci dynamicznej podczas działania programu.

Obie luki zostały już jakiś czas temu zamknięte (pierwsza w 2019 roku, druga w 2020 roku), ale w 2021 roku przestępcy nadal przeprowadzają skuteczne ataki z ich użyciem. Jak zwykle oznacza to, że niektóre organizacje nie zaktualizowały używanego przez siebie oprogramowania.

W jaki sposób atakujący wykorzystują luki w oprogramowaniu ESXi

Atakujący mogą użyć tych luk do generowania szkodliwych żądań SLP i uzyskania dostępu do przechowywanych danych. Aby zaszyfrować informacje, najpierw muszą oni przedostać się do sieci. Jednak nie stanowi to większego problemu, zwłaszcza gdy na maszynie wirtualnej nie ma rozwiązania zabezpieczającego.

Aby móc poruszać się po systemie, operatorzy RansomExx mogą na przykład użyć luki Zerologon (istniejącej w protokole Netlogon Remote Protocol). Podstępem sprawiają oni, że użytkownik uruchamia na maszynie wirtualnej szkodliwy kod, a następnie przejmują kontrolę nad kontrolerem Active Directory. W takich okolicznościach mogą zaszyfrować pamięć, umieszczając informację z żądaniem okupu.

Nawiasem mówiąc, skorzystanie z luki Zerologon to nie jedyna możliwość, lecz jest ona jedną z najbardziej niebezpiecznych opcji ze względu na fakt, że jej użycie jest niemal niemożliwe do wykrycia bez dostępu do specjalnych usług.

Jak zabezpieczyć oprogramowanie MSXi przed atakami

  • Zaktualizuj oprogramowanie VMware ESXi.
  • Jeśli aktualizacja nie jest możliwa, wypróbuj opublikowane przez firmę VMware inne rozwiązanie tego problemu (pamiętaj jednak, że w ten sposób ograniczysz niektóre funkcje SLP).
  • Zaktualizuj protokół Microsoft Netlogon.
  • Zabezpiecz wszystkie komputery w sieci, w tym maszyny wirtualne.
  • Używaj rozwiązania Managed Detection and Response, które potrafi wykrywać nawet najbardziej skomplikowane ataki wieloetapowe, które nie są widoczne dla tradycyjnych programów antywirusowych.
Porady