{"id":26455,"date":"2021-03-29T11:18:39","date_gmt":"2021-03-29T09:18:39","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=26455"},"modified":"2021-03-29T11:18:39","modified_gmt":"2021-03-29T09:18:39","slug":"ransomware-in-virtual-environment","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/ransomware-in-virtual-environment\/26455\/","title":{"rendered":"Ransomware in einer virtuellen Umgebung"},"content":{"rendered":"

Obwohl sie einige Cyber-Bedrohungsrisiken deutlich reduziert, ist die Virtualisierung ebenso wenig ein Allheilmittel wie jede andere Praxis. Ein Ransomware-Angriff kann immer noch virtuelle Infrastrukturen treffen, wie ZDNet k\u00fcrzlich berichtete<\/a>, zum Beispiel durch anf\u00e4llige Versionen von VMware ESXi.<\/p>\n

Die Verwendung von virtuellen Maschinen ist eine solide und sichere Praxis. Zum Beispiel kann die Verwendung einer VM den Schaden einer Infektion abmildern, falls die virtuelle Maschine keine sensiblen Daten enth\u00e4lt. Selbst falls der Benutzer versehentlich einen Trojaner auf einer virtuellen Maschine aktiviert, macht das einfache Mounten eines frischen Images der virtuellen Maschine alle b\u00f6sartigen \u00c4nderungen r\u00fcckg\u00e4ngig.<\/p>\n

Die RansomExx<\/a>-Ransomware zielt jedoch speziell auf Schwachstellen in VMware ESXi ab, um virtuelle Festplatten anzugreifen. Die Darkside-Gruppe verwendet Berichten zufolge dieselbe Methode, und die Sch\u00f6pfer des BabukLocker-Trojaners deuten an, dass sie in der Lage sind, ESXi zu verschl\u00fcsseln<\/a>.<\/p>\n

Welche Schwachstellen gibt es?<\/h2>\n

Der VMware ESXi-Hypervisor l\u00e4sst mehrere virtuelle Maschinen auf einem einzigen Server \u00fcber Open SLP (Service Layer Protocol) Informationen speichern, die unter anderem Netzwerkger\u00e4te ohne Vorkonfiguration erkennen k\u00f6nnen. Bei den beiden fraglichen Schwachstellen handelt es sich um CVE-2019-5544<\/a> und CVE-2020-3992<\/a>, beides alte Hasen und somit f\u00fcr Cyberkriminelle nicht neu. Die erste dient dazu, Heap-Overflow<\/a>-Angriffe durchzuf\u00fchren, und die zweite ist vom Typ Use-After-Free<\/a> \u2013 also bezogen auf die fehlerhafte Nutzung von dynamischem Speicher im operativen Betrieb.<\/p>\n

Beide Sicherheitsl\u00fccken wurden bereits vor einiger Zeit geschlossen (die erste im Jahr 2019, die zweite im Jahr 2020), aber im Jahr 2021 f\u00fchren Kriminelle nach wie vor erfolgreiche Angriffe \u00fcber sie durch. Wie \u00fcblich bedeutet das, dass einige Organisationen ihre Software nicht aktualisiert haben.<\/p>\n

Wie Angreifer ESXi-Schwachstellen ausnutzen Angreifer k\u00f6nnen die Schwachstellen nutzen, um b\u00f6sartige SLP-Anfragen zu generieren und die Datenspeicherung zu kompromittieren. Um Informationen zu verschl\u00fcsseln, m\u00fcssen sie nat\u00fcrlich zun\u00e4chst in das Netzwerk eindringen und dort Fu\u00df fassen. Das ist kein gro\u00dfes Problem, vor allem falls die virtuelle Maschine nicht mit einer Sicherheitsl\u00f6sung ausgestattet ist.<\/p>\n

Um sich im System festzusetzen, k\u00f6nnen RansomExx-Betreiber zum Beispiel die Zerologon<\/a>-Schwachstelle (im Netlogon Remote Protocol) nutzen. Das hei\u00dft, sie bringen einen Benutzer dazu, b\u00f6sartigen Code auf der virtuellen Maschine auszuf\u00fchren, \u00fcbernehmen dann die Kontrolle \u00fcber den Active Directory-Controller und verschl\u00fcsseln erst dann den Speicher, um eine L\u00f6segeldforderung zu hinterlassen.<\/p>\n

\u00dcbrigens ist Zerologon nicht die einzige Option, sondern nur eine der gef\u00e4hrlichsten, da ihre Ausnutzung ohne spezielle Dienste<\/a> fast unm\u00f6glich zu erkennen ist.<\/p>\n

Wie Sie sich vor Angriffen auf MSXI sch\u00fctzen k\u00f6nnen<\/h2>\n