CVE-2024-37085

VMware ESXi (versões afetadas não especificadas)

O VMware ESXi contém uma vulnerabilidade de contorno de autenticação. Um agente mal-intencionado com permissões suficientes no Active Directory (AD) pode obter acesso total a um host ESXi que tenha sido previamente configurado para usar o AD para gerenciamento de usuários, recriando o grupo AD configurado (padrão: “ESXi Admins”) após ele ter sido excluído do AD. Vários grupos de ransomware, incluindo BlackByte, Akira e aqueles ligados ao Scattered Spider e ao Conti, estão explorando ativamente essa vulnerabilidade. Os invasores estão utilizando técnicas como phishing, explorando a vulnerabilidade para obter acesso administrativo e usando ferramentas como Cobalt Strike e Pypykatz. A vulnerabilidade permite que os invasores contornem a autenticação e obtenham privilégios administrativos completos, o que pode levar à criptografia de infraestruturas inteiras. O grupo de ransomware BlackByte está explorando ativamente essa falha, e alguns grupos estão usando drivers vulneráveis para desativar medidas de segurança.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.