Microsoft 研究人员警告说，多个勒索软件团伙正在利用 VMware ESXi 漏洞中最近修补的漏洞 CVE-2024-37085（CVSS 评分为 6.8）。

“Microsoft 研究人员在 ESXi 虚拟机管理程序中发现了一个漏洞，该漏洞被多个勒索软件运营商利用，以获取对已加入域的 ESXi 虚拟机管理程序的完全管理权限。”警告Microsoft.

该漏洞是 VMware ESXi 中的身份验证绕过漏洞。

“具有足够 Active Directory （AD） 权限的恶意行为者可以通过在从 AD 中删除配置的 AD 组（默认为”ESXi 管理员“）重新创建之前配置为使用 AD 进行用户管理的 ESXi 主机获得完全访问权限。”

该公司发布了针对影响 ESXi 8.0 和 VMware Cloud Foundation 5.x 的安全漏洞的补丁。但是，对于旧版本 ESXi 7.0 和 VMware Cloud Foundation 4.x，没有计划进行任何修补。建议使用不受支持的版本的用户升级到较新版本，以获取安全更新和支持。

Microsoft 报告称，Storm-0506、Storm-1175 和 Octo Tempest 等多个出于经济动机的组织已经利用此漏洞部署勒索软件。

Microsoft“Microsoft安全研究人员发现了一种新的妥协后技术，该技术被 Storm-0506、Storm-1175、Octo Tempest 和 Manatee Tempest 等勒索软件运营商在众多攻击中使用。”“在某些情况下，使用这种技术导致了 Akira 和 Black Basta 勒索软件的部署。”

今年早些时候，Storm-0506 组织入侵了北美的一家工程公司，并利用漏洞 CVE-2024-37085 部署了 Black Basta 勒索软件，以获得对 ESXi 虚拟机管理程序的提升权限。

“威胁行为者通过 Qakbot 感染获得了对组织的初步访问权限，然后利用 Windows CLFS 漏洞 （CVE-2023-28252） 来提升他们在受影响设备上的权限。 然后，威胁行为者使用 Cobalt Strike 和 Pypykatz（Mimikatz 的 Python 版本）窃取了两个域管理员的凭据，并横向移动到四个域控制器Microsoft。

攻击者在域中创建了“ESX Admins”组，并向其中添加了一个新的用户帐户。威胁参与者对 ESXi 文件系统进行了加密，并导致 ESXi 虚拟机管理程序上托管虚拟机的功能丢失。