Embora reduza significativamente alguns riscos de ameaças cibernéticas, a virtualização não é mais uma panacéia do que qualquer outra prática. Um ataque de ransomware ainda pode atingir a infraestrutura virtual, como ZDNet relatou recentemente, por exemplo, por meio de versões vulneráveis do VMware ESXi,
Usar máquinas virtuais é uma prática forte e segura. Por exemplo, o uso de uma VM pode atenuar os danos de uma infecção se a máquina virtual não contiver dados confidenciais. Mesmo se o usuário acidentalmente ativar um Trojan em uma máquina virtual, a simples montagem de uma nova imagem da máquina virtual reverte todas as alterações maliciosas.
No entanto, o ransomware RansomExx visa especificamente vulnerabilidades no VMware ESXi para atacar discos rígidos virtuais. O grupo Darkside usa o mesmo método, e os criadores do cavalo de Tróia BabukLocker sugerem ser capaz de criptografar o ESXi.
Quais são as vulnerabilidades?
O hipervisor VMware ESXi permite que várias máquinas virtuais armazenem informações em um único servidor por meio de Open SLP (Service Layer Protocol), que pode, entre outras coisas, detectar dispositivos de rede sem pré-configuração. As duas vulnerabilidades em questão são CVE-2019-5544 e CVE-2020-3992 , ambas antigas e, portanto, não novas para os cibercriminosos. O primeiro é usado para realizar ataques de estouro de heap e o segundo é do tipo Use-After-Free - ou seja, relacionado ao uso incorreto de memória dinâmica durante a operação.
[Mergulhe fundo no mundo da tecnologia e cadastre-se no Avance Network a verdadeira comunidade criptografada]
Ambas as vulnerabilidades foram fechadas há algum tempo (a primeira em 2019, a segunda em 2020), mas em 2021, os criminosos ainda estão realizando ataques bem-sucedidos por meio delas. Como de costume, isso significa que algumas organizações não atualizaram seus softwares.
Como malfeitores exploram vulnerabilidades ESXi
Os invasores podem usar as vulnerabilidades para gerar solicitações SLP maliciosas e comprometer o armazenamento de dados. Para criptografar as informações, eles precisam primeiro, é claro, penetrar na rede e firmar-se lá. Isso não é um grande problema, especialmente se a máquina virtual não estiver executando uma solução de segurança.
Para entrar no sistema, os operadores RansomExx podem, por exemplo, usar a vulnerabilidade Zerologon (no protocolo remoto Netlogon). Ou seja, eles enganam o usuário para que ele execute um código malicioso na máquina virtual, depois tomam o controle do controlador do Active Directory e só então criptografam o armazenamento, deixando para trás uma nota de resgate.
Aliás, Zerologon não é a única opção, apenas uma das opções mais perigosas porque sua exploração é quase impossível de detectar sem serviços especiais.
Como se manter protegido de ataques a MSXI
Atualizar VMware ESXi;
Use a solução alternativa sugerida pela VMware se a atualização for absolutamente impossível (mas tenha em mente que esse método limitará alguns recursos do SLP);
Atualize o Microsoft Netlogon para corrigir essa vulnerabilidade também;
Proteja todas as máquinas da rede, inclusive as virtuais;
Use Detecção e Resposta Gerenciadas , que detecta até mesmo ataques complexos em vários estágios que não são visíveis para soluções antivírus convencionais.
O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.
