Diese Woche erhielt die Sicherheitsgemeinschaft wieder ein Alarmsignal: die US Cybersecurity Agency ( CISA bestätigt) dass Ransomware-Bands begonnen haben, eine hohe Schwere Schwachstelle in VMware ESXi, die bereits in Zero-Day-Angriffen verwendet worden war auszunutzen. Es ist kein Fehler: Es ist ein Mechanismus, der es einem Angreifer ermöglicht, innerhalb einer virtuellen Maschine mit bestimmten Privilegien den Kern des Hypervisors zu kompromittieren und "aus" der konfiszierten Umgebung zu machen.
Im März 2025 veröffentlichte Broadcom (Eigentümer von VMware) Patches für eine Reihe von verwandten Fehlern - einschließlich der Schwachstelle des willkürlichen Schreibens im Kernel, das als CVE-2025-22225, zusammen mit einem Speicherleck und einem TOCTOU-Fehler - und schon dann qualifizierte er sie als in der Natur ausgebeutet. Die technische Beschreibung zeigt an, dass, wenn ein Gegner Privilegien innerhalb des VMX-Prozesses erreicht, es willkürliches Schreiben im Kernel verursachen kann und somit aus der VM-Sandbox entkommen kann, etwas, das in der Praxis eine virtuelle Maschine transformiert, die in einem Gateway in die restliche Infrastruktur eingebunden ist.
Es ist wichtig zu verstehen, warum solche Fehler besonders gefährlich sind. In virtualisierten Umgebungen fungiert der Hypervisor als Schicht, die mehrere virtuelle Maschinen trennt und gemeinsame Ressourcen verwaltet; eine Schwachstelle, die es erlaubt, diese Trennung zu brechen, gibt dem Angreifer die Möglichkeit, sich seitlich zu bewegen, Zugriffsdaten von anderen VMs oder dauerhafte Werkzeuge auf Host-Ebene zu installieren. Deshalb beeinflussen VMware-Patches eine breite Palette von Produkten - darunter ESXi, vSphere, Workstation und andere - und deshalb können schädliche Akteure, die zu Kettenversagen mit hohen Privilegien führen, sehr relevante Umweltkontrolle erhalten.
Die CISA-Bestätigung, dass diese Schwachstelle jetzt in Ransomware Kampagnen verwendet wird, konzentriert sich auf das reale Risiko für Unternehmen und Verwaltungen. Die Agentur hat die Schwachstelle bereits in den Katalog "Known Exploited Vulnerabilities" aufgenommen und für Bundesagenturen Fristen und Richtlinien im Rahmen der Bindung Betriebsrichtlinie 22-01. Die offizielle Empfehlung ist klar: Wenden Sie die vom Hersteller angegebene Minderung an, folgen Sie der entsprechenden Anleitung für Cloud-Dienste oder, falls keine Minderung vorliegt, stoppen Sie die Verwendung der betroffenen Ware, bis sie gesichert werden kann.
Dies ist nicht das erste Mal in den letzten Monaten, dass CISA Schwachstellen in VMware-Produkten identifiziert hat, wie in realen Angriffen ausgenutzt. Das Virtualisierungs-Ökosystem ist oft ein attraktives Ziel für kriminelle Gruppen und Staatsakteure, da viele kritische Belastungen und sensible Daten auf diesen Plattformen ausgeführt werden: Die Kompromisse des Hyperviewers bieten eine viel größere operative Rückkehr als die Angriffe auf eine einzelne isolierte Maschine. Diese Risikokonzentration erklärt die Aufmerksamkeit sowohl auf Sicherheitsupdates als auch auf dringende Parkaufträge.
Die private Forschung hat anspruchsvolle Kampagnen dokumentiert, die diese Schwächen ausnutzen. Cybersecurity-Unternehmen haben Analysen veröffentlicht, die darauf hindeuten, dass chinesische Akteure ähnliche Versagen bei gezielten Angriffen seit früheren Zeiten ketten, was darauf hindeutet, dass diese Vektoren mit Beharrlichkeit und gewissem Automatisierungsgrad ausgenutzt wurden. Für diejenigen, die Infrastruktur verwalten, sollte dies als Warnung gelesen werden: die Vektoren, die heute in öffentlichen Ausschreibungen erscheinen, wurden oft in diskreteren Angriffen verwendet.
Aus betrieblicher Sicht ist die Empfehlung für IT- und Sicherheitsausrüstung eindeutig: Grundstück so schnell wie möglich und den Anweisungen des Lieferanten folgen. Darüber hinaus ist es angebracht, die Privilegieneinstellungen innerhalb virtueller Maschinen zu überprüfen, um Konten und Prozesse mit Zugang zum VMX-Prozess zu minimieren, die Überwachung abnormaler Aktivitäten im Hyperviewer zu stärken und sicherzustellen, dass Backups und Reaktionspläne aktualisiert und getestet werden. Für Organisationen, die Regierungsrichtlinien unterliegen, ist die Umsetzung von CISA-Bestellungen innerhalb der Fristen obligatorisch.
Es gibt auch eine Erkennungs- und Antwortkomponente: Überwachung von Engagement-Indikatoren im Zusammenhang mit Sandkasten-Ausbrüchen und Seitenbewegungen sowie die Zusammenarbeit mit Nachrichten- und Detektionsanbietern, um Frühsignale zu identifizieren. In diesem Sinne hat unabhängige Analyse kritisiert, dass einige CISA-Updates über Sicherheitslücken, die in Ransomware-Kampagnen ausgenutzt wurden, unsichtbar veröffentlicht wurden; Organisationen, die das Internet-Rausch und Missbrauch verfolgen, haben versucht, Licht auf diese Veränderungen zu vergießen, um Verteidigungsteams zu helfen, priorisieren.
Am Ende ist klar, dass die Kombination von Schwachstellen in der Virtualisierungsschicht einen zu attraktiven Vektor für Angreifer bietet. Die praktische Empfehlung für Infrastrukturbetreiber ist in Bezug auf Priorität einfach: Schneller Agar auf die vom Hersteller veröffentlichten Patches, reduzieren die Angriffsfläche durch Einschränkung von Privilegien und stärken die Nachweisfähigkeiten, um nicht nur von dem die Tür schließenden Patch abzuhängen, nachdem jemand bereits eingetragen ist.
Wenn Sie offizielle Quellen konsultieren und Informationen erweitern möchten, können Sie den entsprechenden Eintrag im CISA-Katalog über ausgebeutete Schwachstellen überprüfen ( CVE-2025-22225 im CISA Katalog), die Notiz mit den Ergänzungen vom März 2025 ( CISA Mitteilungen, 4. März 2025), die VMware Sicherheitshinweise Seite, auf der Korrekturen veröffentlicht werden ( VMware Sicherheitsberater) und kontextuelle Analyse von Sicherheits- und Erkennungsunternehmen, die diesen Kampagnen gefolgt sind ( Huntres und Grauer Lärm)
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...