背景图片取自／Christian Ladewig on Unsplash

微软研究人员发现VMware ESXi一个早先修补的验证绕过漏洞，遭到多个操作勒索软件的骇客组织滥用，呼吁管理员应儘速更新到最新版本，并强化安全措施。

遭到骇客滥用的VMware ESXi漏洞为CVE-2024-37085，漏洞风险值6.8，影响ESXi 7、8和VMware Cloud Foundation 4.x及5.x。拥有VMware的博通（Broadcom）上个月才发布安全公告及软件更新，解决该瑕疵在内的三个软件漏洞。但ESXi 7版本因已EoL（end of lifecycle），VMware并不打算修补。

CVE-2024-37085为一验证绕过漏洞。根据博通描述，由于ESXi没有启动适当验证，让拥有足够Active Directory（AD）权限的攻击者得以滥用该漏洞，先删除某个具备用户管理权限的AD群组（即ESXi管理员群组）后再重建，使这新AD群组的成员（如骇客组织）取得ESXi主机完整的存取权，即管理员权限。

CVE-2024-37085的滥用手法有三种，包括在AD网域新增「ESX Admins」群组、将现有AD网域群组重新命名为「ESX Admins」后新增用户，或是当管理员透过ESXi hypervisor权限更新提升了其他群组权限，但忘了将原「ESX Admins」管理权限关闭，因而给了攻击者滥用机会。

微软发现，去年多个勒索软件操作组织，包括Storm-0506、Storm-1175、Octo Tempest和Manatee Tempest利用第一种手法，针对本漏洞发动多次攻击以部署勒索软件，包括Akira、Black Basta、Babuk、Lockbit和Kuiper。成功滥用漏洞后，攻击者得以加密VMware ESXi hypervisor的文件系统，影响代管主机的执行和运作，或是存取代管VM，藉此窃取资料、或在网路上横向移动。

微软建议使用连结网域的ESXi hypervisor的企业组织，应儘速更新到最新版本。此外，由于攻击者一开始会设法取得ESXi hypervisor管理员密码，微软建议用户启用多因素验证、使用无密码验证法（如使用指纹验证、FIDO装置或Microsoft Authenticator），并且将管理员帐号和其他用户帐号有效隔离。最后，为防範勒索软件加密ESXi hypervisor和vCenter，研究人员建议企业升级安全软件并做好备份。