By اگرچه برخی از خطرات مربوط به سوbe استفاده سایبری را به میزان قابل توجهی کاهش می دهد ، اما مجازی سازی بیش از هر عمل دیگری یک دارو نیست. همانطور که ZDNet اخیراً گزارش داد ، به عنوان مثال از طریق نسخه های آسیب پذیر VMware ESXi ،
یک حمله باج افزار همچنان می تواند زیرساخت های مجازی را تحت تأثیر قرار دهد. به عنوان مثال ، اگر ماشین مجازی هیچ گونه اطلاعات حساس را در اختیار نداشته باشد ، می تواند آسیب عفونت را کاهش دهد. حتی اگر کاربر به طور تصادفی یک Trojan را روی یک ماشین مجازی فعال کند ، به سادگی نصب یک تصویر تازه از ماشین مجازی ، هرگونه تغییر مخرب را برعکس می کند. گزارش شده است که گروه Darkside از همین روش استفاده می کنند و سازندگان BabukLocker Trojan از رمزگذاری رمزگذاری ESXi خبر می دهند. سرور از طریق Open SLP (پروتکل لایه لایه) ، که می تواند ، از جمله موارد دیگر ، دستگاه های شبکه را بدون تنظیمات قبلی تشخیص دهد. دو آسیب پذیری مورد بحث CVE-2019-5544 و CVE-2020-3992 هستند ، هر دو زمان گذشته هستند و بنابراین برای مجرمان سایبری جدید نیستند. اولین مورد برای انجام حملات سرریز هپ استفاده می شود ، و دوم از نوع Use-After-Free است – یعنی مربوط به استفاده نادرست از حافظه پویا در حین کار است.
هر دو آسیب پذیری مدتی پیش بسته شدند ( اولین بار در سال 2019 ، دومین مورد در سال 2020) ، اما در سال 2021 ، مجرمان هنوز از طریق آنها حملات موفقیت آمیزی را انجام می دهند. طبق معمول ، به این معنی است که برخی از سازمان ها نرم افزار خود را به روز نکرده اند.
نحوه سو male استفاده سو استفاده کنندگان از آسیب پذیری های ESXi
مهاجمان می توانند از این آسیب پذیری ها برای ایجاد درخواست های SLP مخرب و ذخیره سازی داده ها استفاده کنند برای رمزگذاری اطلاعاتی که ابتدا به آنها نیاز دارند ، البته ، برای نفوذ به شبکه و جایگاه خود در آنجا. این مشکل بزرگی نیست ، خصوصاً اگر ماشین مجازی از راه حل امنیتی استفاده نمی کند.
برای جا افتادن در سیستم ، اپراتورهای RansomExx می توانند به عنوان مثال از آسیب پذیری Zerologon (در پروتکل راه دور Netlogon) استفاده کنند. یعنی ، آنها یک کاربر را فریب می دهند تا کد مخربی را روی ماشین مجازی اجرا کند ، سپس کنترل کننده Active Directory را به دست می گیرند و پس از آن حافظه را رمزگذاری می کنند و یک یادداشت باج را پشت سر می گذارند.
اتفاقاً Zerologon تنها گزینه نیست ، فقط یکی از خطرناک ترین گزینه ها است زیرا بدون استفاده از سرویس های ویژه تقریباً امکان بهره برداری از آن وجود ندارد.
نحوه محافظت در برابر حملات به MSXI
- به روزرسانی VMware ESXi ؛
- در صورت عدم امکان بروزرسانی ، از راه حل پیشنهادی VMware استفاده کنید ( اما به خاطر داشته باشید که این روش برخی از ویژگی های SLP را محدود می کند) ؛
- Microsoft Netlogon را به روز کنید تا این آسیب پذیری را نیز اصلاح کنید.
- از همه دستگاه های شبکه محافظت کنید ، از جمله دستگاه های مجازی ؛
- استفاده از شناسایی و پاسخ مدیریت شده ، حتی حملات پیچیده چند مرحله ای را که برای راه حلهای معمول ضدویروس قابل مشاهده نیستند ، شناسایی می کند.
(تابع (d، s، id) {var js، fjs = d.getElementByTagName (s) [0]؛ if (d.getElementById (id) ) {بازگشت} js = d .createElement (s)؛ js.id = id؛ js.src = "https: / / connect.facebook.net / en_US /all.js"؛ fjs.parentNode.insertBefore (js، fjs)}} ( سند ، "اسکریپت" ، "فیس بوک-jssdk"))؛ .
