VMware-VM-Exploits führen zu Hypervisor-Kontrolle und Ransomware-Angriffen
Am 19. März 2025 veröffentlichte Sicherheitsexperte Nital Ruzin eine brisante Analyse zu aktiven Angriffen auf VMware-Umgebungen. Die Ausnutzung dreier kritischer Schwachstellen (CVE-2025-22224, -22225, -22226) ermöglicht sogenannten VM Escapes, bei denen Angreifer aus einer kompromittierten virtuellen Maschine ausbrechen und Kontrolle über den Hypervisor (ESXi) erlangen – eine Eintrittskarte für die großflächige Ransomware-Verteilung.
Ein Angreifer kompromittiert eine Webserver-VM in der DMZ eines Paketdienstleisters und nutzt anschließend die Schwachstellen in VMware aus, um in die Virtualisierungsschicht vorzudringen. Dort angekommen, extrahiert er Anmeldedaten, übernimmt den vCenter-Zugang und verschlüsselt VMs – inklusive Backup-Daten.
Kritische Erkenntnisse:
- Die Angriffe erfolgen netzwerkunabhängig und bleiben oft unsichtbar für klassische Sicherheitssysteme wie EDR oder SIEM.
- Einmal im Hypervisor, können Angreifer VMs hostübergreifend lahmlegen.
- ESXi- und vCenter-Logs sind zu unstrukturiert für effizientes Sicherheitsmonitoring.
Empfohlene Maßnahmen:
- Sofortiges Patchen betroffener Systeme
- Netzwerk- und Virtualisierungssegmentierung zur Begrenzung des Angriffsradius
- Monitoring auch auf Hypervisor-Ebene und Einsatz von Honeypots (Canaries)
- Einführung eines “Blast Radius”-Designs, um Auswirkungen eines Angriffs einzudämmen
Virtualisierte Infrastrukturen sind längst ins Visier von Ransomware-Gruppen geraten. Unternehmen müssen sich von der Illusion absoluter Sicherheit verabschieden und ihre Architektur proaktiv auf Widerstandsfähigkeit und Schadensbegrenzung ausrichten.