{"id":55422,"date":"2025-01-30T08:09:52","date_gmt":"2025-01-30T07:09:52","guid":{"rendered":"https:\/\/www.secuinfra.com\/?p=55422"},"modified":"2025-02-19T11:11:49","modified_gmt":"2025-02-19T10:11:49","slug":"hypervisor-sicherheit-schutz-von-esxi-systemen-vor-angriffen-und-ransomware","status":"publish","type":"post","link":"https:\/\/testing.secuinfra.com\/de\/techtalk\/hypervisor-sicherheit-schutz-von-esxi-systemen-vor-angriffen-und-ransomware\/","title":{"rendered":"Hypervisor-Sicherheit: Schutz von ESXi-Systemen vor Angriffen und Ransomware"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/hypervisor-sicherheit-schutz-von-esxi-systemen-vor-angriffen-und-ransomware\/#Was_ist_ein_Hypervisor\" >Was ist ein Hypervisor?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/hypervisor-sicherheit-schutz-von-esxi-systemen-vor-angriffen-und-ransomware\/#Hypervisoren_als_Ziele\" >Hypervisoren als Ziele<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/hypervisor-sicherheit-schutz-von-esxi-systemen-vor-angriffen-und-ransomware\/#VMWare_ESXi\" >VMWare ESXi<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/hypervisor-sicherheit-schutz-von-esxi-systemen-vor-angriffen-und-ransomware\/#Bekannte_Gruppen_und_Ransomwares\" >Bekannte Gruppen und Ransomwares<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/hypervisor-sicherheit-schutz-von-esxi-systemen-vor-angriffen-und-ransomware\/#Prominente_Schwachstellen\" >Prominente Schwachstellen<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/hypervisor-sicherheit-schutz-von-esxi-systemen-vor-angriffen-und-ransomware\/#Vorbeugende_Massnahmen\" >Vorbeugende Ma\u00dfnahmen<\/a><\/li><\/ul><\/nav><\/div>\n\n<p class=\"wp-block-paragraph\">In einem aktuellen Fall haben wir versucht, die Aktivit\u00e4ten des Angreifers auf einem ESXi-Hypervisor zu rekonstruieren. Die auf dem System verf\u00fcgbaren Protokolle waren sehr begrenzt, was die Analyse der Aktivit\u00e4ten des Angreifers erschwerte. Gerade der <strong>ESXi-Hypervisor<\/strong> bietet detaillierte Protokolle, die bei entsprechender Konfiguration f\u00fcr die forensische Analyse genutzt werden k\u00f6nnen. Das Thema der <strong>Incident Readiness<\/strong> im Allgemeinen wurde in einem fr\u00fcheren Artikel behandelt, dessen Lekt\u00fcre sehr zu empfehlen ist. Dieser Artikel konzentriert sich auf Hypervisor, die Risiken, denen sie ausgesetzt sind, und wie man sie sch\u00fctzen kann.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Was_ist_ein_Hypervisor\"><\/span>Was ist ein Hypervisor?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Hypervisor sind wesentliche Aspekte in modernen Hosting-Umgebungen. Immer weniger Anwendungen werden auf <strong>&#8222;Bare Metal&#8220;-Servern <\/strong>gehostet, stattdessen hostet der Server mehrere virtualisierte Server, die wiederum die Anwendungen hosten. Diese Virtualisierung bietet Vorteile in Bezug auf Flexibilit\u00e4t, Skalierbarkeit und Zuverl\u00e4ssigkeit.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Diese virtualisierten Server werden in einem Hypervisor gehostet.&nbsp; Es liegt auf der Hand, dass der Hypervisor ein wesentlicher Baustein in einer modernen <strong>Hosting-Umgebung<\/strong> ist. Nicht nur, dass der Betrieb jedes virtualisierten Servers und jeder darin enthaltenen Anwendung von der kontinuierlichen Funktion des Hypervisors abh\u00e4ngt, er stellt auch einen Single Point of Failure bei der Beschr\u00e4nkung des Zugangs zu diesen Servern dar. Es liegt in der Natur der Sache, dass ein Hypervisor den Zugriff auf jeden in ihm gehosteten Server gew\u00e4hrt.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Hypervisoren_als_Ziele\"><\/span>Hypervisoren als Ziele<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Hypervisoren sind daher ins Visier verschiedener <strong>Ransomware-Banden<\/strong> geraten, die ihre Funktionalit\u00e4t ausnutzen wollen, um im Netzwerk eines Unternehmens Schaden anzurichten, manchmal auch durch Ausnutzung von Sicherheitsl\u00fccken im Hypervisor. Angriffe, bei denen der Zugriff auf einen Hypervisor genutzt wird, um alle virtuellen Maschinen eines Unternehmens zu verschl\u00fcsseln, werden als <strong>&#8222;Big Game Hunting&#8220;<\/strong> bezeichnet. Daher ist es unerl\u00e4sslich, den eingesetzten Hypervisor zu sichern und zu \u00fcberwachen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"VMWare_ESXi\"><\/span>VMWare ESXi<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">ESXi von VMware ist ein Hypervisor der Klasse 1. Er umfasst nicht nur die Kernfunktionen eines Hypervisors, sondern auch grundlegende Betriebssystemfunktionen. Er wird direkt auf der Hardware installiert, ohne dass ein Betriebssystem zugrunde liegt. Sein geringer Platzbedarf von 150 MB macht ihn zu einem der kleinsten Hypervisoren der Welt. \u00dcber alle angebotenen Produkte hinweg h\u00e4lt VMware bis 2023 einen Marktanteil von \u00fcber 61%. In dieser Publikation liegt der Schwerpunkt auf Bedrohungsakteuren und Schwachstellen. Allgemeine Empfehlungen k\u00f6nnen jedoch auch auf andere spezifische Technologien angewendet werden.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Bekannte_Gruppen_und_Ransomwares\"><\/span>Bekannte Gruppen und Ransomwares<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Es \u00fcberrascht nicht, dass mehrere Ransomware-Gruppen bereits im Jahr 2021 damit begonnen haben, den Hypervisor ESXi ins Visier zu nehmen. Darunter auch die folgenden:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Storm-0506\/Black Basta<\/li>\n\n\n\n<li>Storm-1175\/Medusa<\/li>\n\n\n\n<li>Octo-Tempest\/Scattered Spider<\/li>\n\n\n\n<li>SpriteSpider\/ RansomEXX\/Defray777<\/li>\n\n\n\n<li>CarbonSpider\/FIN7<\/li>\n\n\n\n<li>Manatee Tempest\/EvilCorp<\/li>\n\n\n\n<li>Cicada3301<\/li>\n\n\n\n<li>Qilin<\/li>\n\n\n\n<li>Black Cat\/ALPHV \u2013 ALPHV Ransomware<\/li>\n\n\n\n<li>Lockbit<\/li>\n\n\n\n<li>Kuiper\/RobinHood<\/li>\n\n\n\n<li>ShadowSyndicate\/Infra Storm\/Play<\/li>\n\n\n\n<li>Akira<\/li>\n\n\n\n<li>Mallox<\/li>\n\n\n\n<li>Cheerscrypt\/Cheers\/Babuk<\/li>\n\n\n\n<li>BlackSuit<\/li>\n\n\n\n<li>Hive<\/li>\n\n\n\n<li>AvosLocker<\/li>\n\n\n\n<li>Luna<\/li>\n\n\n\n<li>REvil\/Sodinokibi<\/li>\n\n\n\n<li>ViceSociety\/HelloKitty<\/li>\n\n\n\n<li>DarkSide\/BlackMatter<\/li>\n\n\n\n<li>GwisinLocker<\/li>\n\n\n\n<li>RedAlert\/N13V<\/li>\n\n\n\n<li>Conti<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Die meisten Ransomware-Kampagnen wurden durchgef\u00fchrt, indem man sich privilegierten Zugriff auf den Hypervisor verschaffte und dann einfach alle darin gehosteten Rechner verschl\u00fcsselte. Dazu geh\u00f6ren die diesj\u00e4hrigen <a  href=\"https:\/\/www.trendmicro.com\/en_th\/research\/24\/g\/new-play-ransomware-linux-variant-targets-esxi-shows-ties-with-p.html\"  target=\"_blank\" rel=\"noreferrer noopener\" dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Angriffe der Play Group<\/a>, <a  href=\"https:\/\/www.truesec.com\/hub\/blog\/dissecting-the-cicada\"  target=\"_blank\" rel=\"noreferrer noopener\" dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Cicada3301 <\/a>und der <a  href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/mgm-casinos-esxi-servers-allegedly-encrypted-in-ransomware-attack\/\"  target=\"_blank\" rel=\"noreferrer noopener\" dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Angriff von Scattered Spider auf MGM<\/a> aus dem letzten Jahr<a  href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/mgm-casinos-esxi-servers-allegedly-encrypted-in-ransomware-attack\/\"  target=\"_blank\" rel=\"noreferrer noopener\" dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >.<\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Besondere Aufmerksamkeit sollte der Tatsache gewidmet werden, dass die meisten Ransomware-Programme virtuelle Maschinen vor der Verschl\u00fcsselung abschalten. Einige Exemplare wie BlackBasta, Luna Babuk und RedAlert (bei der der Angreifer diese Funktion manuell aktivieren muss) tun dies jedoch nicht. Dies k\u00f6nnte dazu f\u00fchren, dass die virtuellen Maschinen besch\u00e4digt werden, was eine Wiederherstellung unm\u00f6glich macht, selbst mit den entsprechenden Schl\u00fcsseln. Dies k\u00f6nnte als zus\u00e4tzlicher Anreiz gesehen werden, eine Infektion von vornherein zu vermeiden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">In unserem j\u00fcngsten Fall verschafften sich die Angreifer mit verschiedenen Mitteln Zugang zum Netzwerk eines Unternehmens. Dazu geh\u00f6rten Anmeldedaten, die sie von Marktpl\u00e4tzen im Dark Web bezogen. Die Angreifer nutzten einen legitimen Fernzugriff auf das System anstelle einer speziellen Malware. Eine ihrer Aktionen in diesem Netzwerk war der Versuch, auf die im ESXi-Hypervisor gehosteten virtuellen Maschinen zuzugreifen. Dies zeigt, dass Ransomware und die Verschl\u00fcsselung ganzer Festplatten nicht die einzigen Bedrohungen f\u00fcr ESXi-Benutzer sind. Hand-auf-Tastatur-Angriffe, die vor dem Aufkommen gezielter Malware die Hauptbedrohung f\u00fcr Hypervisoren darstellten, stellen immer noch eine Gefahr dar, da ein Angreifer keine Gelegenheit ausl\u00e4sst, wenn sie sich ihm bietet.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Prominente_Schwachstellen\"><\/span>Prominente Schwachstellen<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Komplexe Software birgt immer Schwachstellen, und der ESXi-Hypervisor bildet hier keine Ausnahme. Zwei bekannte Schwachstellen, die in der Vergangenheit ausgenutzt wurden, werden im Folgenden beschrieben.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">CVE-2021-21974<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">CVE-2021-21974 ist eine Heap-Overflow-Schwachstelle auf Port 427\/tcp in OpenSLP, wie es in ESXi verwendet wird, die zu Remotecodeausf\u00fchrung f\u00fchren kann. Im Jahr 2023 wurde diese Schwachstelle genutzt, um die Ransomware <strong>\u201eESXiArgs\u201c<\/strong> in gro\u00dfem Umfang auf ESXi-Servern mit direktem Internetanschluss einzusetzen. Zum Zeitpunkt der Verbreitung dieser Ransomware h\u00e4tte die Infektion durch eine ordnungsgem\u00e4\u00dfe Aktualisierung des ESXi-Hypervisors vermieden werden k\u00f6nnen. Weitere Informationen finden Sie in dem <a href=\"https:\/\/testing.secuinfra.com\/en\/techtalk\/hide-your-hypervisor-analysis-of-esxiargs-ransomware\/\" target=\"_blank\" rel=\"noreferrer noopener\">ausgezeichneten Artikel<\/a>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">CVE-2024-37085<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Am 29. Juli 2024 gab Microsoft die Entdeckung von CVE-2024-37085 bekannt. Eine Schwachstelle in dom\u00e4nenverbundenen ESXi-Hypervisoren, die den Zugriff mit vollen Administratorrechten erm\u00f6glichte. Zu diesem Zeitpunkt war sie bereits von den Ransomware-Akteuren Storm-0506, Storm-1175, Octo Tempest, Akira und Manatee Tempest zur Systemverschl\u00fcsselung genutzt worden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Schwachstelle bestand darin, dass jeder Benutzer, der Mitglied einer AD-Gruppe namens &#8222;ESX Admins&#8220; war, volle Administratorrechte auf dem ESXi Hypervisor erhielt. Die Erstellung dieser Gruppe bzw. das Hinzuf\u00fcgen von Benutzern zu dieser Gruppe wird in AD-Dom\u00e4nen normalerweise nicht \u00fcberwacht und ist relativ einfach m\u00f6glich. <a  href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2024\/07\/29\/ransomware-operators-exploit-esxi-hypervisor-vulnerability-for-mass-encryption\/\"  target=\"_blank\" rel=\"noreferrer noopener\" dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Weitere Informationen dazu<\/a>. Broadcom stufte diese Schwachstelle als mittel ein, was in Sicherheitskreisen zu einigen Kontroversen f\u00fchrte: <a  href=\"https:\/\/www.theregister.com\/2024\/07\/30\/make_me_admin_esxi_flaw\/\"  target=\"_blank\" rel=\"noreferrer noopener\" dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >https:\/\/www.theregister.com\/2024\/07\/30\/make_me_admin_esxi_flaw\/<\/a><\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Vorbeugende_Massnahmen\"><\/span>Vorbeugende Ma\u00dfnahmen<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Systemadministratoren von ESXi-Hypervisoren k\u00f6nnen zahlreiche Ma\u00dfnahmen ergreifen, um die Angriffsfl\u00e4che einzuschr\u00e4nken und eine schnelle Wiederherstellung im Falle einer Kompromittierung zu beschleunigen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">An erster Stelle steht eine rasche und umfassende Anwendung von Patches und Updates. Die oben aufgef\u00fchrten Schwachstellen zeigen, welche M\u00f6glichkeiten Angreifer aus ungepatchten Schwachstellen ziehen k\u00f6nnen. Nat\u00fcrlich gibt es per Definition keine M\u00f6glichkeit, gegen <strong>Zero-Day-Schwachstellen<\/strong> zu patchen, aber CVE-2021-21974 hat gezeigt, dass schwerwiegende Schwachstellen jahrelang ungepatcht bleiben k\u00f6nnen und somit von Angreifern ausgenutzt werden. Die Gr\u00fcnde, warum Unternehmen keine Patches implementieren, sind vielf\u00e4ltig. Oft verz\u00f6gert ein Mangel an Arbeitskr\u00e4ften den <strong>Patching-Prozess<\/strong>, oder es besteht kein Bewusstsein f\u00fcr die Anzahl und Art der Systeme, die gewartet werden m\u00fcssen. W\u00e4hrend letzteres mit einer CMDB und einem Tool zum Scannen und Verwalten von Schwachstellen behoben werden kann, ist die einzige wirkliche L\u00f6sung f\u00fcr ersteres die Einstellung von zus\u00e4tzlichem Personal.<br><br>&nbsp;Ein weiteres Problem sind die m\u00f6glichen Auswirkungen auf die Produktivit\u00e4t. Die Aussicht, einen ganzen Betrieb wegen eines fehlerhaften Patches lahmzulegen, ist abschreckend, und die j\u00fcngsten IT-Ausf\u00e4lle im Zusammenhang mit <strong>CrowdStrike<\/strong> haben diese Wahrnehmung noch verst\u00e4rkt. Bei der Abw\u00e4gung der Risiken und der Ber\u00fccksichtigung der verschiedenen Verantwortlichkeiten f\u00fcr Ausf\u00e4lle mit unterschiedlichen Ursachen sollte ein Unternehmen im Zweifel stehts seine Angriffsfl\u00e4che durch die Implementierung von vom Hersteller genehmigten Patches verkleinern.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wenn ein Patching nicht machbar oder m\u00f6glich ist, z. B. weil der Angriff eine bekannte Zero-Day-L\u00fccke nutzt, ist das so genannte virtuelle Patching eine Alternative. Virtuelles Patching ist eine Technik zur Verhinderung von Exploits, indem sie auf Netzwerkebene mit Hilfe eines IPS oder einer <strong>Next-Generation-Firewall<\/strong> blockiert werden. Dies leitet zum Thema Schutzmechanismen auf Netzwerkebene \u00fcber. Eine einfache Firewall kann sogar anf\u00e4llige Systeme vor Angreifern sch\u00fctzen, indem sie sie aus deren Reichweite entfernt. Nat\u00fcrlich sollten Hypervisor nicht f\u00fcr das Internet sichtbar sein. Sie sollten nur innerhalb des Unternehmensnetzes sichtbar sein. Wenn m\u00f6glich, in einem hochprivilegierten Netzwerksegment. Der Fernzugriff kann \u00fcber ein VPN erfolgen. Eine <strong>IPS-L\u00f6sung<\/strong> bietet zus\u00e4tzlichen Schutz vor Bedrohungen aus dem eigenen Netz heraus.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dar\u00fcber hinaus sollte der Zugriff auf den Hypervisor auf autorisiertes Personal beschr\u00e4nkt werden. Es sollten personalisierte Konten mit starken, eindeutigen Passw\u00f6rtern verwendet werden, und wenn m\u00f6glich, sollte ein zweiter Faktor implementiert werden. Die Zugriffsberechtigungen sollten regelm\u00e4\u00dfig \u00fcberpr\u00fcft und widerrufen werden, wenn sie nicht mehr zutreffen. Die Relevanz dieses Grundprinzips muss bei ESXi-Hypervisoren hervorgehoben werden, da sie \u00fcber keine Privilegienverwaltung verf\u00fcgen. Jeder Benutzer mit Zugriff auf die Maschine hat volle administrative Rechte.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Bedeutung regelm\u00e4\u00dfiger Backups kann nicht hoch genug eingesch\u00e4tzt werden. Es ist wichtig, dass diese Backups nicht nur regelm\u00e4\u00dfig erstellt werden, sondern auch au\u00dferhalb der Reichweite potenzieller Angreifer liegen. Die meisten Schadprogramme sind in der Lage, auch Backups zu verschl\u00fcsseln, die auf dem Hypervisor selbst gespeichert sind. <strong>Air Gapping<\/strong> oder die Unver\u00e4nderbarkeit der Backups sind M\u00f6glichkeiten, die L\u00f6schung oder Verschl\u00fcsselung dieser Backups zu verhindern.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Nicht alle Schwachstellen liegen in der Software selbst. Auch Konfigurationsfehler k\u00f6nnen zu Schwachstellen f\u00fchren. Neben Ma\u00dfnahmen, die f\u00fcr jede Software gelten, wie die Deaktivierung von Funktionen, die nicht verwendet werden, und die Beschr\u00e4nkung des Zugriffs auf das System und die Konfiguration auf autorisierte Benutzer, gibt es Ma\u00dfnahmen, die speziell f\u00fcr Hypervisors im Allgemeinen und den ESXi-Hypervisor im Besonderen gelten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Erstellung und H\u00e4rtung der <strong>AD-Gruppe &#8222;ESX Admins&#8220; <\/strong>sch\u00fctzt vor CVE-37085. Kein Benutzer sollte in dieser Gruppe sein oder die M\u00f6glichkeit haben, sie zu \u00e4ndern. Selbst wenn alle Systeme bereits gepatcht sind, kann es ratsam sein, diese Ma\u00dfnahme zu ergreifen, um gegen Schatten-IT, \u00fcbersehene Systeme und Systeme, die in Zukunft installiert werden, gewappnet zu sein. Die beste L\u00f6sung ist nat\u00fcrlich, den Hypervisor vollst\u00e4ndig vom Active Directory des Unternehmens zu trennen.&nbsp; Dadurch wird nicht nur verhindert, dass Angreifer infolge eines erfolgreichen Angriffs auf die Dom\u00e4ne des Unternehmens Zugang zum Hypervisor erhalten, sondern auch die Verf\u00fcgbarkeit erh\u00f6ht, da der Zugriff auf den Hypervisor nicht vom Betrieb des Dom\u00e4nencontrollers abh\u00e4ngt, der h\u00e4ufig selbst in einer virtuellen Maschine gehostet wird.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>UEFI Secure Boot<\/strong> auf dem physischen Server und TPM 2.0 tragen zum Schutz des Systems bei, indem sie die Integrit\u00e4t der Boot-Dateien und des beim Booten geladenen Codes durch Codesignierung sicherstellen, wodurch der Hypervisor vor Manipulationen an den Boot-Dateien gesch\u00fctzt wird. In vSphere 7.0 U2 und neuer wird TPM 2.0 auch zur Verschl\u00fcsselung der Konfiguration des ESXi-Hosts verwendet, um sie vor Manipulationen zu sch\u00fctzen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der Schutz des Boot-Prozesses eines Systems ist in jedem Fall eine gute Idee. Bei <strong>ESXi-Systemen <\/strong>ist dies von zus\u00e4tzlicher Bedeutung, da sich das Betriebssystem nicht auf einem permanenten Dateisystem befindet. Stattdessen wird das Dateisystem jedes Mal beim Booten aus VIB-Dateien neu erstellt. Um Persistenz auf dem System zu erreichen, muss der Angreifer also den Boot-Prozess angreifen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Option execInstalledOnly=true ist eine Option, die verhindert, dass fremder Code auf dem Hypervisor ausgef\u00fchrt wird. Es wird dringend empfohlen, sie zu nutzen. Man muss sich jedoch dar\u00fcber im Klaren sein, dass die Verwendung dieser Option als Laufzeiteinstellung wenig bis gar keine Konsequenzen hat. Angesichts des bereits erw\u00e4hnten Fehlens einer Privilegienverwaltung in ESXi besitzt jeder Benutzer mit Zugriff auf die Maschine automatisch die F\u00e4higkeit, diese Einstellung zu deaktivieren. Andererseits bedeutet die Konfiguration der Option execInstalledOnly im Kernel, dass sie bis zum n\u00e4chsten Neustart aktiv bleibt, selbst wenn sie ge\u00e4ndert wird.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Angreifer, die auf den Hypervisor zugreifen k\u00f6nnen, tun dies routinem\u00e4\u00dfig \u00fcber ssh. Durch die Deaktivierung von ssh werden diese Angriffe im Keim erstickt. Da der ESXi \u00fcber die Weboberfl\u00e4che verwaltet werden kann, gibt es keinen guten Grund, ssh dauerhaft aktiviert zu lassen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Schlie\u00dflich sollten Hypervisor streng \u00fcberwacht werden. Gl\u00fccklicherweise bieten die meisten Hypervisor-L\u00f6sungen umfangreiche Protokollierungsfunktionen. Nat\u00fcrlich m\u00fcssen diese Protokolle aktiviert und konfiguriert werden, damit sie von Nutzen sind. F\u00fcr <strong>Windows-basierte Hyper-V-L\u00f6sungen<\/strong> verweisen wir noch einmal auf unseren Artikel zur <strong>Incident Readiness<\/strong>. Hypervisors, die auf Linux und ESXi basieren, k\u00f6nnen Syslog verwenden. Aus mehreren Gr\u00fcnden ist es empfehlenswert, diese Protokolle an ein SIEM weiterzuleiten. Dadurch werden die Protokolle dem unmittelbaren Zugriff eines Angreifers entzogen, der sich bereits Zugang zum Hypervisor verschafft hat. Dar\u00fcber hinaus erm\u00f6glicht ein SIEM die Korrelation mit Ereignissen aus anderen Protokollquellen sowie die \u00dcberwachung der Ereignisse und die Alarmierung bei abnormalen oder b\u00f6sartigen Ereignissen. Auf ESXi-Systemen ist die \u00dcberwachung noch wichtiger als auf anderen Systemen, da kein EDR vorhanden ist und jeder Benutzer automatisch vollen Zugriff auf das System hat.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Alarme k\u00f6nnten bei Ereignissen wie Anmeldungen, (spezifischen) \u00c4nderungen der Konfiguration oder Neustarts ausgel\u00f6st werden. Nat\u00fcrlich m\u00fcssen eine <strong>24\/7-\u00dcberwachung<\/strong> sowie im Voraus geplante Reaktionspl\u00e4ne vorhanden sein, um einer Verschl\u00fcsselung im Falle einer Kompromittierung zuvorzukommen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Befolgung dieser Empfehlungen wird die Sicherheit des Hypervisors Ihres Unternehmens erheblich verbessern und ihn vor Verschl\u00fcsselung sch\u00fctzen. F\u00fcr weitere Hinweise und Ratschl\u00e4ge zum Schutz eines ESXi-Hypervisors empfehlen wir auch diese <a  href=\"https:\/\/www.youtube.com\/watch?v=Z7pmI73Rhxw\"  target=\"_blank\" rel=\"noreferrer noopener\" dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Pr\u00e4sentation vom diesj\u00e4hrigen Security Fest<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>In einem aktuellen Fall haben wir versucht, die Aktivit\u00e4ten des Angreifers auf einem ESXi-Hypervisor zu rekonstruieren. Die auf dem System verf\u00fcgbaren Protokolle waren sehr begrenzt, was die Analyse der Aktivit\u00e4ten des Angreifers erschwerte. Gerade der ESXi-Hypervisor bietet detaillierte Protokolle, die bei entsprechender Konfiguration f\u00fcr die forensische Analyse genutzt werden k\u00f6nnen. Das Thema der Forensic Readiness im Allgemeinen wurde in einem fr\u00fcheren Artikel behandelt, dessen Lekt\u00fcre sehr zu empfehlen ist. Dieser Artikel konzentriert sich auf Hypervisoren, die Risiken, denen sie ausgesetzt sind, und wie man sie sch\u00fctzen kann.<\/p>\n","protected":false},"author":41,"featured_media":55423,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[79,764,66],"tags":[7],"dpc_coauthors":[],"class_list":["post-55422","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-digital-forensics","category-incident-readiness","category-techtalk","tag-cyber-defense"],"acf":[],"_links":{"self":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/55422","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/41"}],"replies":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=55422"}],"version-history":[{"count":0,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/55422\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/55423"}],"wp:attachment":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=55422"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=55422"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=55422"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=55422"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}