Auch Linux und Windows betroffen

Neuartiges Malware-Ökosystem bedroht VMware-Umgebungen

Uhr
von Adrian Oberer und lha

Forschende von Mandiant haben ein neuartiges Malware-Ökosystem entdeckt. Dieses bedroht Systeme für den Betrieb von virtuellen Umgebungen von VMware, Linux und Microsoft.

(Source: Maksim Kabakou / Fotolia.com)
(Source: Maksim Kabakou / Fotolia.com)

Sicherheitsforschende des Cybersecurity-Anbieters Mandiant haben im April eine neuartige Angriffsmethode entdeckt. Diese ermöglicht es Angreifern, mehrere Hintertüren im Zielsystem zu installieren, wie das Unternehmen in einem Blogeintrag schreibt. Die betroffene Software komme bei Unternehmen in Branchen wie dem öffentlichen Sektor, Finanzen, Verteidigung und Technologie zum Einsatz.

Die Cyberkriminellen verwenden dazu bösartige "vSphere Installation Bundles" (VIBs), wie das Unternehmen schreibt. Diese Software-Pakete beinhalten normalerweise aktualisierte Treiber oder CIM Provider. Bei einem erfolgreichen Angriff ermöglichen es diese bösartigen VIBs, mehrere dauerhafte Hintertüren auf einem ESXi-Hypervisoren zu installieren - also Hintertüren, die auch einen Neustart der Hardware überstehen. Dazu seien aber Administratorenrechte nötig. Ein Hypervisor, auch Virtual Machine Monitor genannt, ist eine Software, mit der virtuelle Maschinen erstellt und ausgeführt werden, wie VMware auf seiner Website schreibt.

Die so installierten Hintertüren ermöglichen es laut Mandiant, Befehle auszuführen, Dateien zu übertragen und Protokollierungsdienste sowohl auf den Hypervisoren als auch auf den darunter laufenden Gastcomputern zu manipulieren. Gemäss dem Blogeintrag sind auch Linux vCenter-Server und virtuelle Maschinen von Windows von der Malware betroffen.

Kein Zero-Day-Bug gefunden

Zum jetzigen Zeitpunkt liegen Mandiant nach eigenen Angaben keine Beweise dafür vor, dass eine Zero-Day-Schwachstelle in EXSi zur Installation der VIBs ausgenutzt wurde. Es handle sich auch nicht um eine externe Schwachstelle zur Remotecodeausführung.

Bis anhin sei die Malware in weniger als 10 Fällen nachgewiesen worden. Da die VMware-Infrastruktur die sogenannte "Endpoint Detection und Respons"-Technologie - eine Technologie zur kontinuierlicher Überwachung ausgewählter Endpunkte wie Laptops oder IoT-Geräte - nicht unterstützt, erwartet der Cybersecurity-Anbieter, dass nach der Veröffentlichung der Forschungsergebnisse weitere Fälle dazukommen werden.

Sowohl Mandiant als auch VMware haben bereits Anleitungen zur Härtung der eigenen Systeme veröffentlicht.

Übrigens: Erst im vergangenen August musste VMware 10 kritische Sicherhetislücken öffentlich machen. Mehr dazu erfahren Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_269771