Ransomware in einer virtuellen Umgebung

Eine Reihe von cyberkriminellen Gruppen haben Schwachstellen in VMware ESXi ausgenutzt, um Computer mit Ransomware zu infizieren.

Obwohl sie einige Cyber-Bedrohungsrisiken deutlich reduziert, ist die Virtualisierung ebenso wenig ein Allheilmittel wie jede andere Praxis. Ein Ransomware-Angriff kann immer noch virtuelle Infrastrukturen treffen, wie ZDNet kürzlich berichtete, zum Beispiel durch anfällige Versionen von VMware ESXi.

Die Verwendung von virtuellen Maschinen ist eine solide und sichere Praxis. Zum Beispiel kann die Verwendung einer VM den Schaden einer Infektion abmildern, falls die virtuelle Maschine keine sensiblen Daten enthält. Selbst falls der Benutzer versehentlich einen Trojaner auf einer virtuellen Maschine aktiviert, macht das einfache Mounten eines frischen Images der virtuellen Maschine alle bösartigen Änderungen rückgängig.

Die RansomExx-Ransomware zielt jedoch speziell auf Schwachstellen in VMware ESXi ab, um virtuelle Festplatten anzugreifen. Die Darkside-Gruppe verwendet Berichten zufolge dieselbe Methode, und die Schöpfer des BabukLocker-Trojaners deuten an, dass sie in der Lage sind, ESXi zu verschlüsseln.

Welche Schwachstellen gibt es?

Der VMware ESXi-Hypervisor lässt mehrere virtuelle Maschinen auf einem einzigen Server über Open SLP (Service Layer Protocol) Informationen speichern, die unter anderem Netzwerkgeräte ohne Vorkonfiguration erkennen können. Bei den beiden fraglichen Schwachstellen handelt es sich um CVE-2019-5544 und CVE-2020-3992, beides alte Hasen und somit für Cyberkriminelle nicht neu. Die erste dient dazu, Heap-Overflow-Angriffe durchzuführen, und die zweite ist vom Typ Use-After-Free – also bezogen auf die fehlerhafte Nutzung von dynamischem Speicher im operativen Betrieb.

Beide Sicherheitslücken wurden bereits vor einiger Zeit geschlossen (die erste im Jahr 2019, die zweite im Jahr 2020), aber im Jahr 2021 führen Kriminelle nach wie vor erfolgreiche Angriffe über sie durch. Wie üblich bedeutet das, dass einige Organisationen ihre Software nicht aktualisiert haben.

Wie Angreifer ESXi-Schwachstellen ausnutzen Angreifer können die Schwachstellen nutzen, um bösartige SLP-Anfragen zu generieren und die Datenspeicherung zu kompromittieren. Um Informationen zu verschlüsseln, müssen sie natürlich zunächst in das Netzwerk eindringen und dort Fuß fassen. Das ist kein großes Problem, vor allem falls die virtuelle Maschine nicht mit einer Sicherheitslösung ausgestattet ist.

Um sich im System festzusetzen, können RansomExx-Betreiber zum Beispiel die Zerologon-Schwachstelle (im Netlogon Remote Protocol) nutzen. Das heißt, sie bringen einen Benutzer dazu, bösartigen Code auf der virtuellen Maschine auszuführen, übernehmen dann die Kontrolle über den Active Directory-Controller und verschlüsseln erst dann den Speicher, um eine Lösegeldforderung zu hinterlassen.

Übrigens ist Zerologon nicht die einzige Option, sondern nur eine der gefährlichsten, da ihre Ausnutzung ohne spezielle Dienste fast unmöglich zu erkennen ist.

Wie Sie sich vor Angriffen auf MSXI schützen können

  • Aktualisieren Sie VMware ESXi;
  • Verwenden Sie den von VMware vorgeschlagenen Workaround, falls ein Update absolut unmöglich ist (beachten Sie jedoch, dass diese Methode einige SLP-Funktionen einschränkt);
  • Aktualisieren Sie Microsoft Netlogon, um auch diese Sicherheitslücke zu schließen;
  • Schützen Sie alle Maschinen im Netzwerk, auch die virtuellen;
  • Verwenden Sie Managed Detection and Response, das auch komplexe mehrstufige Angriffe erkennt, die für herkömmliche Antivirenlösungen nicht sichtbar sind.
Tipps