Création d’un groupe « ESX Admins » : Une faille de sécurité majeure dans ransomware-play-une-menace-ciblant-les-machines-virtuelles-vmware-esxi-sous-linux/ » title= »Nouvelle version de ransomware Play : une menace ciblant les machines virtuelles VMware ESXi sous Linux ! »>VMware ESXi
Getty Images
Microsoft exhorte les utilisateurs de l’hyperviseur ESXi de VMware à agir rapidement pour se protéger contre des attaques en cours menées par des groupes de ransomware, leur permettant d’obtenir un contrôle administratif total sur les serveurs concernés.
Une vulnérabilité critique : CVE-2024-37085
La vulnérabilité, identifiée sous le code CVE-2024-37085, permet à des attaquants ayant déjà obtenu des droits limités sur un serveur ciblé d’accéder à un contrôle administratif complet de l’hyperviseur ESXi. Des groupes de ransomware tels que Storm-0506, Storm-1175, Octo Tempest et Manatee Tempest exploitent cette faille depuis plusieurs mois dans le cadre d’attaques post-compromission, c’est-à-dire après avoir déjà accédé au système par d’autres moyens.
Des droits administratifs accordés par défaut
Le contrôle total de l’hyperviseur confère aux attaquants diverses capacités, notamment le chiffrement du système de fichiers et la mise hors ligne des serveurs hébergés. Ce contrôle permet également d’accéder aux machines virtuelles hébergées pour exfiltrer des données ou étendre leur emprise sur le réseau. Microsoft a découvert cette vulnérabilité lors de ses investigations sur les attaques et l’a signalée à VMware, qui a publié un correctif le jeudi suivant.
Les chercheurs en sécurité de Microsoft ont noté qu’une nouvelle technique post-compromission utilisée par des opérateurs de ransomware a été identifiée, entraînant des déploiements de ransomware tels qu’Akira et Black Basta. L’une des découvertes les plus frappantes a été que l’élévation des privilèges de l’hyperviseur ESXi à un accès administratif illimité était aussi simple que de créer un nouveau groupe de domaine nommé « ESX Admins ». À partir de ce moment, tout utilisateur assigné à ce groupe, y compris les nouveaux, devenait automatiquement administrateur, sans nécessiter d’authentification.
Une analyse plus approfondie de la vulnérabilité a révélé que les hyperviseurs ESXi intégrés à un domaine Active Directory considèrent tout membre d’un groupe de domaine nommé « ESX Admins » comme ayant un accès administratif complet par défaut. Ce groupe n’est pas un groupe intégré dans Active Directory et n’existe pas par défaut. Les hyperviseurs ESXi ne vérifient pas l’existence d’un tel groupe lors de l’intégration au domaine et traitent tout membre de ce groupe comme ayant un accès administratif complet, même si le groupe n’existait pas à l’origine.
Facilité d’exploitation et conséquences
Créer ce nouveau groupe de domaine ne nécessite que deux commandes simples :
- net group « ESX Admins » /domain /add
- net group « ESX Admins » nom_utilisateur /domain /add
Au cours de l’année écoulée, les acteurs de ransomware ont de plus en plus ciblé les hyperviseurs ESXi, leur permettant de chiffrer massivement des données avec seulement quelques clics. En chiffrant le système de fichiers de l’hyperviseur, toutes les machines virtuelles hébergées sont également chiffrées. De plus, de nombreux produits de sécurité offrent une visibilité limitée et peu de protection pour l’hyperviseur ESXi.
La facilité d’exploitation, associée à la note de gravité moyenne de 6,8 sur 10 attribuée par VMware à cette vulnérabilité, a suscité des critiques de la part de professionnels de la sécurité expérimentés.
Un exemple d’attaque : Storm-0506 et Black Basta
Les chercheurs de Microsoft ont décrit une attaque observée par le groupe de menaces Storm-0506, qui a installé un ransomware connu sous le nom de Black Basta. Dans les étapes intermédiaires, Storm-0506 a déployé un malware appelé Qakbot et exploité une vulnérabilité Windows précédemment corrigée pour faciliter l’installation de deux outils de piratage, Cobalt Strike et Mimikatz.
Plus tôt cette année, une entreprise d’ingénierie en Amérique du Nord a été touchée par un déploiement de ransomware Black Basta par Storm-0506. Lors de cette attaque, l’acteur de menace a utilisé la vulnérabilité CVE-2024-37085 pour obtenir des privilèges élevés sur les hyperviseurs ESXi de l’organisation.
Les administrateurs d’ESXi doivent donc donner la priorité à l’investigation et à la correction de cette vulnérabilité. Microsoft a fourni plusieurs méthodes pour identifier des modifications suspectes apportées au groupe ESX Admins ou d’autres signes potentiels d’exploitation de cette vulnérabilité.
