{"id":24285,"date":"2021-03-31T15:56:56","date_gmt":"2021-03-31T13:56:56","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=24285"},"modified":"2021-03-31T15:57:46","modified_gmt":"2021-03-31T13:57:46","slug":"ransomware-in-virtual-environment","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/ransomware-in-virtual-environment\/24285\/","title":{"rendered":"Un ransomware nell’ambiente virtuale"},"content":{"rendered":"

Sebbene la virtualizzazione riduca in modo significativo i rischi dovuti alle minacce informatiche, non \u00e8 la panacea di tutti i mali. Un attacco ransomware potrebbe comunque colpire l\u2019infrastruttura virtuale, cos\u00ec come riportato di recente<\/a> da ZDNet, sfruttando ad esempio le versioni vulnerabili di VMware ESXi.<\/p>\n

Optare per una macchina virtuale \u00e8 un approccio sicuro e solido; ad esempio, se una macchina virtuale non contiene dati sensibili, i danni dovuti a un\u2019infezione possono essere contenuti. Anche se l\u2019utente attiva per sbaglio un Trojan su una macchina virtuale, la creazione di una nuova immagine della macchina virtuale annuller\u00e0 qualsiasi modifica dannosa.<\/p>\n

Tuttavia, il ransomware RansomExx<\/a> colpisce specificatamente le vulnerabilit\u00e0 presenti in VMware ESXi con lo scopo di attaccare gli hard disk virtuali. Si pensa che il gruppo Darkside utilizzi lo stesso metodo; inoltre, i creatori del Trojan BabuLocker hanno insinuato<\/a> di essere gi\u00e0 in grado di cifrare ESXi.<\/p>\n

Di quali vulnerabilit\u00e0 stiamo parlando?<\/h2>\n

L\u2019ipervisore VMware ESXi consente a numerose macchine virtuali di salvare informazioni su un solo server mediante l\u2019Open SLP (Service Layer Protocol) che, tra le altre cose, pu\u00f2 rilevare i dispositivi di rete senza preconfigurazione. Le due vulnerabilit\u00e0 in questione si chiamano CVE-2019-5544<\/a> e CVE-2020-3992<\/a>, entrambe di vecchia data e gi\u00e0 note ai cybercriminali. La prima viene sfruttata per portare a termine attacchi di heap overflow<\/a>, mentre la seconda \u00e8 di tipo Use-After-Free<\/a>, ovvero \u00e8 legata all\u2019uso non adeguato della memoria dinamica durante le operazioni.<\/p>\n

Entrambe le vulnerabilit\u00e0 sono state risolte tempo fa (la prima nel 2019, la seconda nel 2020); tuttavia, siamo nel 2021 e grazie ad esse i cybercriminali riescono ancora a portare a termine con successo, il che vuole dire che alcune aziende non hanno ancora aggiornato i propri software.<\/p>\n

In che modo i cybercriminali sfruttano le vulnerabilit\u00e0 di ESXi?<\/h2>\n

I criminali informatici possono utilizzare queste vulnerabilit\u00e0 per generare richieste SLP dannose e compromettere il salvataggio dei dati. Per cifrare le informazioni innanzitutto hanno bisogno di penetrare nella rete e di stabilirvisi; non si tratta di un grosso problema, soprattutto se sulla macchina virtuale non \u00e8 attiva una soluzione di sicurezza.<\/p>\n

Per consolidare la presenza nel sistema, i creatori di RansomExx possono sfruttare, ad esempio, la vulnerabilit\u00e0 Zerologon<\/a> (all\u2019interno del protocollo remoto Netlogon). In questo modo, ingannano l\u2019utente affinch\u00e9 faccia partire il codice dannoso sulla macchina virtuale, poi i cybercriminali prendono le redini del controller Active Directory e solo allora cifrano la memoria e scrivono un messaggio per richiedere il riscatto.<\/p>\n

Purtroppo, per\u00f2, Zerologon non \u00e8 l\u2019unica opzione ma \u00e8 solo una tra le pi\u00f9 pericolose, in quanto \u00e8 praticamente impossibile individuarla senza ricorrere a servizi specifici<\/a>.<\/p>\n

Come evitare gli attacchi su MSXI<\/h2>\n