Vulnérabilité de VMware qui donne les droits d'administrateur de l'hyperviseur
-
Créez un nouveau groupe appelé « Administrateurs ESX » et ESXi lui accorde automatiquement des droits d’administrateur.
Microsoft exhorte les utilisateurs de l’hyperviseur ESXi de VMware à prendre des mesures immédiates pour parer aux attaques en cours des groupes de ransomwares qui leur donnent un contrôle administratif total sur les serveurs sur lesquels le produit s’exécute.
La vulnérabilité, identifiée comme CVE-2024-37085, permet aux attaquants qui ont déjà obtenu des droits système limités sur un serveur ciblé d’obtenir le contrôle administratif complet de l’hyperviseur ESXi. Les attaquants affiliés à plusieurs syndicats de ransomwares, notamment Storm-0506, Storm-1175, Octo Tempest et Manatee Tempest, exploitent cette faille depuis des mois dans de nombreuses attaques post-compromise, c’est-à-dire après que l’accès limité a déjà été obtenu par d’autres moyens.
Droits d’administrateur attribués par défaut
Le contrôle administratif complet de l’hyperviseur offre aux attaquants diverses capacités, notamment le chiffrement du système de fichiers et la mise hors service des serveurs qu’ils hébergent. Le contrôle de l’hyperviseur peut également permettre aux attaquants d’accéder aux machines virtuelles hébergées pour exfiltrer des données ou étendre leur présence au sein d’un réseau. Microsoft a découvert la vulnérabilité exploitée au cours de son enquête normale sur les attaques et l’a signalée à VMware. La société mère de VMware, Broadcom, a corrigé la vulnérabilité jeudi.
des membres de l’équipe Microsoft Threat Intelligence “Les chercheurs en sécurité de Microsoft ont identifié une nouvelle technique post-compromise utilisée par les opérateurs de ransomware comme Storm-0506, Storm-1175, Octo Tempest et Manatee Tempest dans de nombreuses attaques”, ont écrit lundi . « Dans plusieurs cas, l’utilisation de cette technique a conduit au déploiement des ransomwares Akira et Black Basta. »
Le message documente ensuite une découverte étonnante : l’augmentation des privilèges de l’hyperviseur sur ESXi vers un administrateur sans restriction était aussi simple que la création d’un nouveau groupe de domaine nommé « Administrateurs ESX ». À partir de ce moment-là, tout utilisateur affecté au groupe, y compris les utilisateurs nouvellement créés, devenait automatiquement administrateur, sans aucune authentification nécessaire. Comme l’explique le message de Microsoft :
Une analyse plus approfondie de la vulnérabilité a révélé que les hyperviseurs VMware ESXi joints à un domaine Active Directory considèrent par défaut que tout membre d’un groupe de domaine nommé « Administrateurs ESX » dispose d’un accès administratif complet. Ce groupe n’est pas un groupe intégré dans Active Directory et n’existe pas par défaut. Les hyperviseurs ESXi ne valident pas l’existence d’un tel groupe lorsque le serveur est joint à un domaine et traitent toujours tous les membres d’un groupe portant ce nom avec un accès administratif complet, même si le groupe n’existait pas à l’origine. De plus, l’appartenance au groupe est déterminée par le nom et non par l’identifiant de sécurité (SID).
La création du nouveau groupe de domaines peut être réalisée avec seulement deux commandes :
- groupe net « Administrateurs ESX » /domaine /add
- groupe net « ESX Admins » nom d’utilisateur/domaine/add
Ils ont déclaré qu’au cours de l’année écoulée, les auteurs de ransomwares ont de plus en plus ciblé les hyperviseurs ESXi dans des attaques qui leur permettent de chiffrer en masse des données en « quelques clics » seulement. En chiffrant le système de fichiers de l’hyperviseur, toutes les machines virtuelles hébergées sur celui-ci sont également chiffrées. Les chercheurs ont également déclaré que de nombreux produits de sécurité ont une visibilité limitée et peu de protection sur l’hyperviseur ESXi.
La facilité d’exploitation, associée à la note de gravité moyenne attribuée par VMware à la vulnérabilité, soit 6,8 sur 10 possibles, a suscité les critiques de certains professionnels de la sécurité expérimentés.
ESXi est un hyperviseur de type 1, également connu sous le nom d’hyperviseur nu, ce qui signifie qu’il s’agit d’un système d’exploitation en soi installé directement sur un serveur physique. Contrairement aux hyperviseurs de type 2, les hyperviseurs de type 1 ne s’exécutent pas sur un système d’exploitation tel que Windows ou Linux. Les systèmes d’exploitation invités s’exécutent ensuite par-dessus. Prendre le contrôle de l’hyperviseur ESXi donne aux attaquants un pouvoir énorme.
Les chercheurs de Microsoft ont décrit une attaque qu’ils ont observée par le groupe de menace Storm-0506 visant à installer un ransomware connu sous le nom de Black Basta. Comme étapes intermédiaires, Storm-0506 a installé un malware connu sous le nom de Qakbot et a exploité une vulnérabilité Windows précédemment corrigée pour faciliter l’installation de deux outils de piratage, l’un connu sous le nom de Cobalt Strike et l’autre Mimikatz. Les chercheurs ont écrit :
Plus tôt cette année, une société d’ingénierie en Amérique du Nord a été touchée par le déploiement du ransomware Black Basta par Storm-0506. Au cours de cette attaque, l’auteur de la menace a utilisé la vulnérabilité CVE-2024-37085 pour obtenir des privilèges élevés sur les hyperviseurs ESXi au sein de l’organisation.
L’acteur malveillant a obtenu un premier accès à l’organisation via une infection Qakbot, suivi de l’exploitation d’une vulnérabilité Windows CLFS (CVE-2023-28252) pour élever ses privilèges sur les appareils concernés. L’acteur malveillant a ensuite utilisé Cobalt Strike et Pypykatz (une version Python de Mimikatz) pour voler les informations d’identification de deux administrateurs de domaine et se déplacer latéralement vers quatre contrôleurs de domaine.
Sur les contrôleurs de domaine compromis, l’acteur malveillant a installé des mécanismes de persistance à l’aide d’outils personnalisés et d’un implant SystemBC. L’acteur a également été observé en train de tenter de forcer brutalement les connexions RDP (Remote Desktop Protocol) à plusieurs appareils comme autre méthode de mouvement latéral, puis d’installer à nouveau Cobalt Strike et SystemBC. L’acteur malveillant a ensuite tenté de falsifier Microsoft Defender Antivirus à l’aide de divers outils pour éviter d’être détecté.
Microsoft a observé que l’acteur malveillant avait créé le groupe « ESX Admins » dans le domaine et y avait ajouté un nouveau compte utilisateur. Suite à ces actions, Microsoft a observé que cette attaque entraînait le cryptage du système de fichiers ESXi et la perte des fonctionnalités des machines virtuelles hébergées. sur l’hyperviseur ESXi. L’acteur a également été observé en train d’utiliser PsExec pour chiffrer des appareils qui ne sont pas hébergés sur l’hyperviseur ESXi. L’antivirus Microsoft Defender et l’interruption automatique des attaques dans Microsoft Defender for Endpoint ont permis d’arrêter ces tentatives de chiffrement sur les appareils sur lesquels l’ agent unifié pour Defender for Endpoint était installé.
La chaîne d’attaque utilisée par Storm-0506.Toute personne ayant la responsabilité administrative des hyperviseurs ESXi doit donner la priorité à l’enquête et à la correction de cette vulnérabilité. La publication Microsoft propose plusieurs méthodes pour identifier les modifications suspectes du groupe Administrateurs ESX ou d’autres signes potentiels d’exploitation de cette vulnérabilité.
