A Microsoft alertou hoje que gangues de ransomware estão explorando ativamente uma vulnerabilidade de autenticação bypass no VMware ESXi em ataques cibernéticos. Rastreada como CVE-2024-37085, essa falha de segurança de severidade média foi descoberta pelos pesquisadores de segurança da Microsoft Edan Zwick, Danielle Kuznets Nohi e Meitar Pinto, e corrigida com o lançamento do ESXi 8.0 U3 em 25 de junho. A falha permite que atacantes adicionem um novo usuário a um grupo ‘ESX Admins’ que eles criam, um usuário que automaticamente recebe privilégios administrativos completos no hipervisor ESXi.

Vários ajustes avançados do ESXi têm valores padrão que não são seguros. O grupo AD ‘ESX Admins’ é automaticamente atribuído ao papel de administrador VIM quando um host ESXi é adicionado a um domínio do Active Directory. Embora um ataque bem-sucedido exija altos privilégios no dispositivo alvo e interação do usuário, a Microsoft afirma que várias gangues de ransomware estão explorando essa vulnerabilidade para escalar privilégios a administradores completos em hipervisores vinculados ao domínio.

Isso lhes permite roubar dados sensíveis armazenados nas VMs hospedadas, mover-se lateralmente através das redes das vítimas e criptografar o sistema de arquivos do hipervisor ESXi. Até agora, a vulnerabilidade foi explorada por operadores de ransomware identificados como Storm-0506, Storm-1175, Octo Tempest e Manatee Tempest em ataques que levaram ao uso dos ransomwares Akira e Black Basta.