Microsoft alerte : des gangs de ransomware exploitent une faille de VMware ESXi

Microsoft vient d'avertir que plusieurs gangs de ransomware, dont Black Basta, exploitent une vulnérabilité de VMware ESXi qui pourrait permettre aux attaquants d'obtenir des permissions administratives complètes sur une machine affectée.

Dans un billet de blog publié lundi, Microsoft a détaillé la vulnérabilité de contournement d'authentification de sévérité moyenne de VMware ESXi, référencée CVE-2024-37085, et a confirmé qu'elle est activement exploitée par des gangs de ransomware. Microsoft a crédité ses chercheurs Danielle Kuznets Nohi, Edan Zwick, Meitar Pinto, Charles-Edouard Bettan et Vaibhav Deshmukh pour la découverte de cette vulnérabilité.

L'exploitation de cette faille pourrait permettre aux attaquants disposant de permissions Windows Active Directory d'obtenir un accès complet à l'hôte de l'hyperviseur ESXi. Microsoft a averti que ces attaques peuvent affecter des serveurs réseau critiques.

Les chercheurs de Microsoft ont observé plusieurs opérateurs de ransomware - notamment ceux qu'ils suivent sous les noms Storm-0506, Storm-1175 et Octo Tempes - utiliser cette vulnérabilité pour déployer les ransomwares des enseignes Black Basta et Akira.

« Au cours de l'année dernière, nous avons observé des acteurs de ransomware cibler les hyperviseurs ESXi pour faciliter l'impact d'un chiffrement massif en quelques clics, démontrant que les opérateurs de ransomware innovent constamment dans leurs techniques d'attaque pour augmenter l'impact sur les organisations qu'ils ciblent », a écrit Microsoft dans le billet de blog.

Les chercheurs ont découvert cette faille en enquêtant sur de « nombreuses attaques » menées par des opérateurs de ransomware que Microsoft suit sous les noms Storm-0506, Storm-1175, Octo Tempest et Manatee Tempest impliquant l'hyperviseur ESXi. L'analyse des attaques a révélé que ces acteurs malveillants ont utilisé une vulnérabilité d'ESXi pour élever leurs privilèges à un accès administratif complet sur l'hyperviseur ESXi.

« Une analyse plus approfondie de la vulnérabilité a révélé que les hyperviseurs VMware ESXi rejoignant un domaine Active Directory considèrent par défaut tout membre d'un groupe de domaine nommé "ESX Admins" comme ayant un accès administratif complet. Ce groupe n'est pas un groupe intégré dans Active Directory et n'existe pas par défaut », indique le billet.

Les chercheurs ont ensuite découvert trois façons dont les attaquants peuvent exploiter CVE-2024-37085. Microsoft a averti que la première méthode, qui consiste à ajouter le groupe "ESX admins" et un utilisateur au domaine, est actuellement la seule exploitée activement par les groupes de ransomware.

Les chercheurs ont signalé les failles à VMware plus tôt cette année. « ESXi est un produit populaire dans de nombreux réseaux d'entreprise et, ces dernières années, nous avons observé que les hyperviseurs ESXi deviennent une cible privilégiée pour les acteurs malveillants », relève Microsoft.

L'éditeur ajoute qu'ESXi est une cible populaire pour les attaquants car les hyperviseurs disposent d'options limitées en matière de produits de sécurité et posent des défis de visibilité pour les équipes de centres d'opérations de sécurité (SOC). Et de souligner que le nombre de ses engagements de réponse aux incidents impliquant des hyperviseurs ESXi a plus que doublé au cours des trois dernières années.

En plus d'appliquer le correctif de VMware pour la CVE-2024-37085, Microsoft recommande aux entreprises de mettre en œuvre l'authentification à facteurs multiples (MFA), d'isoler les comptes à priviléges des comptes de productivité et d'améliorer la posture des actifs critiques.