Microsoft exhorte les utilisateurs de l’hyperviseur ESXi de VMware à agir immédiatement pour se protéger contre des attaques en cours de groupes de ransomwares leur conférant un contrôle administratif complet des serveurs sur lesquels le produit fonctionne.

La vulnérabilité, suivie comme CVE-2024-37085, permet aux attaquants ayant déjà obtenu des droits limités sur un serveur ciblé d’accéder à un contrôle administratif complet de l’hyperviseur ESXi. Des attaquants affiliés à plusieurs syndicats de ransomwares—including Storm-0506, Storm-1175, Octo Tempest et Manatee Tempest—exploient cette faille depuis des mois dans de nombreuses attaques post-compromission, c’est-à-dire après que l’accès limité a déjà été obtenu par d’autres moyens.


Droits d’administrateur assignés par défaut

Un contrôle administratif complet de l’hyperviseur permet aux attaquants diverses capacités, y compris le chiffrement du système de fichiers et la mise hors ligne des serveurs qu’ils hébergent. Ce contrôle de l’hyperviseur donne également aux attaquants la possibilité d’accéder aux machines virtuelles hébergées pour exfiltrer des données ou étendre leur emprise à l’intérieur d’un réseau. Microsoft a découvert la vulnérabilité en enquêtant sur des attaques et l’a signalée à VMware. La société mère de VMware, Broadcom, a corrigé cette vulnérabilité jeudi.

« Les chercheurs en sécurité de Microsoft ont identifié une nouvelle technique de post-compromission utilisée par des opérateurs de ransomwares tels que Storm-0506, Storm-1175, Octo Tempest et Manatee Tempest dans de nombreuses attaques », ont écrit des membres de l’équipe de renseignement sur les menaces de Microsoft. « Dans plusieurs cas, l’utilisation de cette technique a conduit à des déploiements de ransomwares comme Akira et Black Basta. »

Le post a également documenté une découverte étonnante : escalader les privilèges de l’hyperviseur ESXi à ceux d’un administrateur sans restriction était aussi simple que de créer un nouveau groupe de domaine nommé « ESX Admins ». Dès lors, tout utilisateur assigné à ce groupe, y compris les nouveaux utilisateurs, devenait automatiquement administrateur, sans aucune authentification nécessaire. Comme l’a expliqué le post de Microsoft :

Une analyse approfondie de la vulnérabilité a révélé que les hyperviseurs VMware ESXi joints à un domaine Active Directory considèrent tout membre d’un groupe de domaine nommé « ESX Admins » comme ayant un accès administratif complet par défaut. Ce groupe n’est pas un groupe intégré dans Active Directory et n’existe pas par défaut. Les hyperviseurs ESXi ne valident pas l’existence d’un tel groupe lors de la jonction du serveur à un domaine et traitent toujours les membres d’un groupe ayant ce nom avec un accès administratif complet, même si le groupe n’existait pas à l’origine. De plus, l’appartenance au groupe est déterminée par le nom et non par l’identifiant de sécurité (SID).

Créer le nouveau groupe de domaine peut être réalisé avec seulement deux commandes :

  • net group “ESX Admins” /domain /add
  • net group “ESX Admins” nom_utilisateur /domain /add

Ils ont indiqué qu’au cours de l’année écoulée, les acteurs de ransomwares ont de plus en plus ciblé les hyperviseurs ESXi dans des attaques leur permettant de chiffrer massivement des données avec seulement quelques « clics » requis. En chiffrant le système de fichiers de l’hyperviseur, toutes les machines virtuelles hébergées dessus sont également chiffrées. Les chercheurs ont également mentionné que de nombreux produits de sécurité offraient une visibilité limitée et peu de protection contre l’hyperviseur ESXi.

La simplicité d’exploitation, couplée à la note de gravité moyenne que VMware a assignée à la vulnérabilité, un 6,8 sur 10, a suscité des critiques de la part de certains professionnels de la sécurité expérimentés.

L’ESXi est un hyperviseur de type 1, également connu sous le nom d’hyperviseur bare-metal, ce qui signifie que c’est un système d’exploitation à part entière installé directement sur un serveur physique. Contrairement aux hyperviseurs de type 2, les hyperviseurs de type 1 ne s’exécutent pas au-dessus d’un système d’exploitation tel que Windows ou Linux. Les systèmes d’exploitation invités s’exécutent ensuite au-dessus. Prendre le contrôle de l’hyperviseur ESXi donne aux attaquants un pouvoir énorme.

Les chercheurs de Microsoft ont décrit une attaque qu’ils ont observée menée par le groupe de menaces Storm-0506 pour installer un ransomware connu sous le nom de Black Basta. En étapes intermédiaires, Storm-0506 a installé un malware connu sous le nom de Qakbot et exploité une vulnérabilité Windows déjà corrigée pour faciliter l’installation de deux outils de piratage, l’un connu sous le nom de Cobalt Strike et l’autre Mimikatz. Les chercheurs ont écrit :

Plus tôt cette année, une entreprise d’ingénierie en Amérique du Nord a été affectée par un déploiement de ransomware Black Basta par Storm-0506. Au cours de cette attaque, l’acteur de menace a utilisé la vulnérabilité CVE-2024-37085 pour obtenir des privilèges élevés sur les hyperviseurs ESXi au sein de l’organisation.

L’acteur de menace a obtenu un accès initial à l’organisation via une infection par Qakbot, suivie de l’exploitation d’une vulnérabilité CLFS de Windows (CVE-2023-28252) pour élever ses privilèges sur les appareils affectés. L’acteur a ensuite utilisé Cobalt Strike et Pypykatz (une version Python de Mimikatz) pour voler les identifiants de deux administrateurs de domaine et se déplacer latéralement vers quatre contrôleurs de domaine.

Sur les contrôleurs de domaine compromis, l’acteur a installé des mécanismes de persistance en utilisant des outils personnalisés et un implant SystemBC. Il a également été observé en train d’essayer de brute-forcer des connexions Remote Desktop Protocol (RDP) à plusieurs appareils comme autre méthode de mouvement latéral, et ensuite de réinstaller Cobalt Strike et SystemBC. L’acteur a également été observé en train d’essayer de manipuler Microsoft Defender Antivirus à l’aide de divers outils pour éviter la détection.

Microsoft a observé que l’acteur de menace avait créé le groupe « ESX Admins » dans le domaine et ajouté un nouveau compte utilisateur à celui-ci, après ces actions, Microsoft a constaté que cette attaque avait entraîné le chiffrement du système de fichiers ESXi et la perte de fonctionnalité des machines virtuelles hébergées sur l’hyperviseur ESXi. L’acteur a également été observé utilisant PsExec pour chiffrer des appareils qui ne sont pas hébergés sur l’hyperviseur ESXi. Microsoft Defender Antivirus et l’interruption automatique des attaques dans Microsoft Defender for Endpoint ont pu arrêter ces tentatives de chiffrement sur les appareils qui avaient l’agent unifié pour Defender for Endpoint installé.

Toute personne ayant la responsabilité administrative des hyperviseurs ESXi devrait prioriser l’investigation et le correction de cette vulnérabilité. Le post de Microsoft fournit plusieurs méthodes pour identifier des modifications suspectes dans le groupe ESX Admins ou d’autres signes potentiels d’exploitation de cette vulnérabilité.

En tant que professionnel dans le domaine de la cybersécurité, je suis très préoccupé par cette situation. L’idée qu’une simple manipulation puisse donner accès à des données sensibles est alarmante. Il est crucial que toutes les entreprises prennent des mesures pour sécuriser leurs systèmes avant qu’il ne soit trop tard.

Publications similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *