Möglich sind die Angriffe aufgrund einer unsicheren Standardkonfiguration. Mitglieder der AD-Gruppe "ESXi Admins" erhalten automatisch Adminrechte.

Sicherheitsforscher von Microsoft Threat Intelligence haben eine Schwachstelle in VMware ESXi entdeckt, die bereits aktiv für Ransomwareangriffe ausgenutzt wird und es den Angreifern ermöglicht, sich administrative Rechte auf ESXi-Hosts zu verschaffen. Damit das gelingt, ist allerdings vorab ein Zugriff auf das Active Directory (AD) der Zielorganisation erforderlich.

Nach Angaben der Microsoft-Forscher erstellen die Angreifer im AD eine Gruppe mit der Bezeichnung "ESXi Admins" und fügen dort anschließend einen unter ihrer Kontrolle befindlichen Benutzer hinzu. Damit erhalten sie automatisch Admin-Zugriff auf per AD verwaltete ESXi-Hosts, da die Mitglieder der genannten Gruppe aufgrund der Sicherheitslücke standardmäßig als Administratoren eingestuft werden.