NSA rapporterades i måndags att CVE-2020-40061 aktivt utnyttjas av grupper sponsrade av den ryska staten. Grupperna utnyttjar den till att få access till sårbara VMware-system och slutligen åtkomst till Windows Active Directory2.
Angreppen börjar med att utnyttja sårbarheten till att få access och sedan ladda upp ett web-shell. Med hjälp av den kan de generera och skicka autentiseringsuppgifter till Active Directory Federation Services (AD FS). Det ger då access till skyddad information och möjligheten att utföra uppgifter som annars kräver högre rättigheter2.
NSA rekommenderar att följa VMwares instruktioner i KB–817543 för att patcha sårbara system. De hänvisar även till en workaround enligt KB–817314 .
Källor:
1 https://www.vmware.com/security/advisories/VMSA-2020-0027.html
2 https://media.defense.gov/2020/Dec/07/2002547071/-1/-1/0/CSA_VMWARE%20ACCESS_U_OO_195076_20.PDF
3 https://kb.vmware.com/s/article/81754
4 https://kb.vmware.com/s/article/81731
