VMware ESXi gelooft automatisch dat iedere gebruiker in een gekoppelde Active Directory-groep met de naam ‘ESX Admins’ effectief administrator is, ook wanneer een hacker die groep zelf aanmaakt.
Onderzoekers van Microsoft hebben een grote en actief misbruikte kwetsbaarheid in de VMware ESXi-hypervisor ontdekt. Die laat aanvallers toe om zichzelf en andere gebruikers te bombarderen tot beheerder. De aanval maakt deel uit van een ketting waarbij de hackers reeds toegang hebben tot een IT-omgeving, en dan meer specifiek Active Directory. Is AD gekoppeld aan de VMware-omgeving, dan kunnen ze zonder moeite met maximale rechten pivoteren daar naartoe.
Het volstaat om in AD een nieuwe groep aan te maken met de naam ‘ESX Admins’. ESXi zal iedere gebruiker in die groep automatisch als beheerder aanzien. Aanvallers kunnen de groep eender wanneer aanmaken, zodra die in voege is, geeft ESXi de admin-rechten.
Hoge rechten
De mogelijke schade is groot. ESXi is een bare metal-hypervisor. Wie admin-toegang heeft, kan naar believen virtuele machines verwijderen of versleutelen. Alles wat op de hypervisor draait, is kwetsbaar.
Het lek is ernstig en eenvoudig uit te buiten, maar VMware geeft het toch maar een CVSS-rating van 6,8. Dat is een analyse die onafhankelijke experts betwisten, niet in het minst omdat aanvallers vandaag actief gebruik maken van de bug.
Microsoft raadt beheerders aan om onmiddellijk actie te ondernemen en na te kijken of de bug niet uitgebuit kan worden. Zoals steeds is het belangrijk om de juiste patches te installeren. Broadcom zou geen update plannen voor ESXi 7.