ESXi Hypervisor Güvenlik Açığı: Microsoft’un Tespitleri ve Alınması Gereken Önlemler

Microsoft, ESXi’da Yeni Bir güvenlik Açığı keşfetti: Merhaba teknoloji tutkunları! Microsoft araştırmacıları, ESXi hypervisorlarda ciddi bir güvenlik açığı bulduklarını açıkladı. Bu açık, fidye yazılım saldırganlarının tam yönetici yetkisi elde etmelerine olanak tanıyor. Hadi, bu önemli konuyu detaylıca inceleyelim.

Güvenlik Açığı ve İstismar Yöntemleri

Microsoft’un bulduğu CVE-2024-37085 zafiyeti, varsayılan olarak ESXi hypervisorlar üzerinde tam erişim verilen domain gruplarını etkiliyor. Microsoft, bu bulguları VMware’e bildirdi ve VMware hızlıca bir güvenlik güncellemesi yayınladı.

İstismar Teknikleri

Microsoft güvenlik araştırmacıları, fidye yazılım gruplarının kullandığı yeni bir post-compromise tekniği tespit etti. Bu teknik, Akira ve Black Basta fidye yazılımlarının dağıtılmasına yol açtı. İşte kullanılan bazı komutlar:

• net group “ESX Admins” /domain /add
• net group “ESX Admins” username /domain /add

Saldırganlar bu komutlarla domain’de “ESX Admins” adlı bir grup oluşturup, bu gruba kullanıcı ekliyorlar.

Üç İstismar Yöntemi:

1. “ESX Admins” Grubunu Domain’e Eklemek: Bir kullanıcıyı bu gruba eklemek veya mevcut bir grup üyesini kullanmak.
2. Domain’deki Herhangi Bir Grubu “ESX Admins” Olarak Yeniden Adlandırmak: Bir kullanıcıyı bu gruba eklemek veya mevcut bir grup üyesini kullanmak.
3. ESXi Hypervisor Ayrıcalıklarını Yeniden Düzenlemek: ESXi hypervisor için yönetim grubunu başka bir gruba atasa bile, “ESX Admins” grubunun tam yönetici ayrıcalıkları hemen kaldırılmaz.

Fidye Yazılımı Operatörlerinin Hedefi: ESXi Hypervisorlar

Son yıllarda saldırganlar, ESXi hypervisorları hedef alarak toplu şifreleme gerçekleştirdi. ESXi, birçok kurumsal ortamda kullanılan bir ürün ve fidye yazılımları için cazip bir hedef haline geldi.,

Koruma ve Azaltma Yönergeleri

Microsoft, domain’e dahil edilmiş ESXi hypervisorlar kullanan organizasyonlar için aşağıdaki korunma yöntemlerini önerdi:

1. Yazılım Güncellemelerini Yükleyin: VMware’in yayınladığı en son güvenlik güncellemelerini yükleyin.
2. “ESX Admins” Grubunu İzleyin: Bu grubun domain’de mevcut olduğundan ve düzenli olarak izlendiğinden emin olun.
3. Erişimleri Engelleyin: Bu grubun ESXi hypervisor üzerinden erişimini engelleyin.
4. Yönetici Grubunu Değiştirin: ESXi hypervisor’da yönetici grubunu farklı bir grupla değiştirin.
5. Düzenli Analiz Yapın: Yeni eklenen grubu ve ESXi loglarını düzenli olarak XDR/SIEM üzerinden analiz edin.
6. Çok Faktörlü Kimlik Doğrulama (MFA) Kulanın.

Teknoloji dünyasında güvenlik her zaman öncelikli olmalı. ESXi hypervisorlarınızı korumak için bu adımları takip edin ve sistemlerinizi güvence altına alın. Sorularınız ve görüşleriniz için yorum yapmayı ve bu bilgileri arkadaşlarınızla paylaşmayı unutmayın!