Ransomware in een virtuele omgeving

Verschillende groepen cybercriminelen hebben kwetsbaarheden in VMware ESXi benut om computers met ransomware te infecteren.

Hoewel het het risico op bepaalde cyberdreigingen aanzienlijk beperkt, is virtualisatie net als andere maatregelen geen wondermiddel. Een virtuele infrastructuur kan nog altijd worden getroffen door een ransomware-aanval, zoals ZDNet onlangs meldde, bijvoorbeeld via kwetsbare versies van VMware ESXi.

Het gebruik van virtuele machines is een sterke en veilige oplossing. Het gebruik van een VM kan bijvoorbeeld de schade van een infectie beperken als er geen gevoelige informatie op de virtuele machine staat. Zelfs als de gebruiker per ongeluk een trojan activeert op een virtuele machine, kan het koppelen van een nieuw bestand van de virtuele machine eventuele schadelijke wijzigingen ongedaan maken.

RansomExx-ransomware richt zich echter specifiek op kwetsbaarheden in VMware ESXi om virtuele harde schijven aan te vallen. Er wordt gemeld dat de Darkside-groep van dezelfde methode gebruikmaakt, en de makers van de BabuLocker-trojan hinten dat ze in staat zijn om ESXi te versleutelen.

Wat zijn de kwetsbaarheden?

De VMware ESXi-hypervisor laat meerdere virtuele machines informatie op een enkele server opslaan via Open SLP (Service Layer Protocol), waardoor er onder meer netwerkapparaten zonder preconfiguratie kunnen worden gedetecteerd. De twee kwetsbaarheden zijn CVE-2019-5544 en CVE-2020-3992, allebei oude bekenden en dus niets nieuws voor cybercriminelen. De eerste wordt gebruikt voor heap overflow-aanvallen en de tweede is van het type Use-After-Free — oftewel gerelateerd aan het incorrecte gebruik van dynamisch geheugen.

Beide kwetsbaarheden werden enige tijd geleden al gedicht (de eerste in 2019 en de tweede in 2020), maar in 2021 voeren criminelen nog altijd succesvolle aanvallen uit. Zoals gewoonlijk betekent dit dat sommige organisaties hun software niet hebben geüpdatet.

Hoe boosdoeners ESXi-kwetsbaarheden benutten

Aanvallers kunnen de kwetsbaarheden gebruiken om schadelijke SLP-verzoeken te genereren en gegevensopslag te compromitteren. Om informatie te versleutelen moeten ze natuurlijk eerst het netwerk penetreren en hier voet aan de grond krijgen. Dat is zo’n probleem nog niet, zeker niet als de virtuele machine niet gebruikmaakt van een beveiligingsoplossing.

Om het systeem binnen te raken kunnen RansomExx-operators bijvoorbeeld gebruikmaken van de Zerologon-kwetsbaarheid (in het Netlogon Remote Protocol). Oftewel: ze laten de gebruiker schadelijke code op de virtuele machine runnen, nemen de controle van de Active Directory-controller over, versleutelen dan pas de opgeslagen informatie en laten ten slotte een eis voor losgeld achter.

Zerologon is bovendien niet de enige optie, maar wel een van de gevaarlijkste, omdat de exploitatie ervan bijna onmogelijk te detecteren is zonder speciale diensten.

Hoe u beschermd blijft tegen aanvallen op MSXI

  • Update VMware ESXi;
  • Gebruik de aanbevolen workaround van VMware als updaten echt onmogelijk is (maar houd er rekening mee dat deze methode sommige SLP-functies zal beperken);
  • Update Microsoft Netlogon om die kwetsbaarheid ook op te lossen;
  • Bescherm alle machines op het netwerk, ook de virtuele machines;
  • Gebruik Managed Detection and Response, waardoor zelfs complexe, uit meerdere fasen opgebouwde aanvallen die niet zichtbaar zijn voor conventionele antivirussystemen worden gedetecteerd.
Tips