Microsoft exhorte les utilisateurs de l’hyperviseur ESXi de VMware à prendre des mesures immédiates pour contrer les attaques continues des groupes de ransomware qui leur donnent le contrôle administratif complet des serveurs sur lesquels le produit s’exécute.
La vulnérabilité, identifiée comme CVE-2024-37085, permet aux attaquants qui ont déjà obtenu des droits système limités sur un serveur ciblé d’obtenir le contrôle administratif complet de l’hyperviseur ESXi. Les attaquants affiliés à plusieurs groupes de ransomware, dont Storm-0506, Storm-1175, Octo Tempest et Manatee Tempest, exploitent la faille depuis des mois dans de nombreuses attaques post-compromission, c’est-à-dire après que l’accès limité a déjà été obtenu par d’autres moyens.
Droits d’administrateur attribués par défaut
Le contrôle administratif complet de l’hyperviseur confère aux attaquants diverses capacités, notamment le chiffrement du système de fichiers et la mise hors service des serveurs qu’il héberge. Le contrôle de l’hyperviseur peut également permettre aux attaquants d’accéder aux machines virtuelles hébergées pour exfiltrer des données ou étendre leur présence au sein d’un réseau. Microsoft a découvert la vulnérabilité exploitée dans le cadre de son enquête normale sur les attaques et l’a signalée à VMware. La société mère de VMware, Broadcom, a corrigé la vulnérabilité jeudi.
« Les chercheurs en sécurité de Microsoft ont identifié une nouvelle technique post-compromission utilisée par des opérateurs de ransomware comme Storm-0506, Storm-1175, Octo Tempest et Manatee Tempest dans de nombreuses attaques », ont écrit lundi les membres de l’équipe Microsoft Threat Intelligence. « Dans plusieurs cas, l’utilisation de cette technique a conduit au déploiement des ransomwares Akira et Black Basta. »
L’article a ensuite documenté une découverte étonnante : augmenter les privilèges d’hyperviseur sur ESXi pour qu’ils deviennent des administrateurs sans restriction était aussi simple que de créer un nouveau groupe de domaine appelé « Administrateurs ESX ». À partir de là, tout utilisateur affecté au groupe, y compris ceux nouvellement créés, devenait automatiquement administrateur, sans qu’aucune authentification ne soit nécessaire. Comme l’explique l’article de Microsoft :
Une analyse plus approfondie de la vulnérabilité a révélé que les hyperviseurs VMware ESXi joints à un domaine Active Directory considèrent que tout membre d’un groupe de domaine nommé « ESX Admins » dispose par défaut d’un accès administratif complet. Ce groupe n’est pas un groupe intégré dans Active Directory et n’existe pas par défaut. Les hyperviseurs ESXi ne valident pas l’existence d’un tel groupe lorsque le serveur est joint à un domaine et traitent toujours tous les membres d’un groupe portant ce nom avec un accès administratif complet, même si le groupe n’existait pas à l’origine. De plus, l’appartenance au groupe est déterminée par le nom et non par l’identifiant de sécurité (SID).
La création du nouveau groupe de domaines peut être réalisée avec seulement deux commandes :
- groupe réseau « ESX Admins » /domaine /add
- groupe réseau « ESX Admins » nom d’utilisateur /domaine /add
Selon eux, au cours de l’année écoulée, les auteurs de ransomware ont de plus en plus ciblé les hyperviseurs ESXi dans des attaques qui leur permettent de chiffrer en masse des données en quelques « clics ». En chiffrant le système de fichiers de l’hyperviseur, toutes les machines virtuelles qui y sont hébergées sont également chiffrées. Les chercheurs ont également déclaré que de nombreux produits de sécurité ont une visibilité limitée sur l’hyperviseur ESXi et une faible protection de celui-ci.
La facilité d’exploitation, associée à la note de gravité moyenne attribuée par VMware à la vulnérabilité, soit 6,8 sur 10, a suscité les critiques de certains professionnels de la sécurité expérimentés.
ESXi est un hyperviseur de type 1, également appelé hyperviseur bare-metal, ce qui signifie qu’il s’agit d’un système d’exploitation à part entière installé directement sur un serveur physique. Contrairement aux hyperviseurs de type 2, les hyperviseurs de type 1 ne s’exécutent pas sur un système d’exploitation tel que Windows ou Linux. Les systèmes d’exploitation invités s’exécutent alors par-dessus. Prendre le contrôle de l’hyperviseur ESXi donne aux attaquants un pouvoir énorme.
Les chercheurs de Microsoft ont décrit une attaque qu’ils ont observée, menée par le groupe de menaces Storm-0506, pour installer un ransomware connu sous le nom de Black Basta. En guise d’étapes intermédiaires, Storm-0506 a installé un malware connu sous le nom de Qakbot et a exploité une vulnérabilité Windows précédemment corrigée pour faciliter l’installation de deux outils de piratage, l’un connu sous le nom de Cobalt Strike et l’autre Mimikatz. Les chercheurs ont écrit :
Plus tôt cette année, une société d’ingénierie en Amérique du Nord a été touchée par un déploiement de ransomware Black Basta par Storm-0506. Au cours de cette attaque, l’acteur malveillant a utilisé la vulnérabilité CVE-2024-37085 pour obtenir des privilèges élevés sur les hyperviseurs ESXi au sein de l’organisation.
L’acteur malveillant a obtenu un accès initial à l’organisation via une infection Qakbot, suivie de l’exploitation d’une vulnérabilité CLFS Windows (CVE-2023-28252) pour élever ses privilèges sur les appareils affectés. L’acteur malveillant a ensuite utilisé Cobalt Strike et Pypykatz (une version Python de Mimikatz) pour voler les informations d’identification de deux administrateurs de domaine et se déplacer latéralement vers quatre contrôleurs de domaine.
Sur les contrôleurs de domaine compromis, l’acteur malveillant a installé des mécanismes de persistance à l’aide d’outils personnalisés et d’un implant SystemBC. L’acteur a également été observé en train de tenter de forcer les connexions RDP (Remote Desktop Protocol) à plusieurs appareils comme autre méthode de déplacement latéral, puis d’installer à nouveau Cobalt Strike et SystemBC. L’acteur malveillant a ensuite tenté de falsifier l’antivirus Microsoft Defender à l’aide de divers outils pour éviter d’être détecté.
Microsoft a observé que l’acteur de la menace a créé le groupe « ESX Admins » dans le domaine et y a ajouté un nouveau compte utilisateur. Suite à ces actions, Microsoft a observé que cette attaque a entraîné le chiffrement du système de fichiers ESXi et la perte de fonctionnalités des machines virtuelles hébergées sur l’hyperviseur ESXi. L’acteur a également été observé en train d’utiliser PsExec pour chiffrer les appareils qui ne sont pas hébergés sur l’hyperviseur ESXi. L’antivirus Microsoft Defender et la perturbation automatique des attaques dans Microsoft Defender for Endpoint ont pu arrêter ces tentatives de chiffrement sur les appareils sur lesquels l’agent unifié pour Defender for Endpoint était installé.
Toute personne ayant une responsabilité administrative sur les hyperviseurs ESXi doit donner la priorité à l’investigation et à la correction de cette vulnérabilité. La publication de Microsoft fournit plusieurs méthodes pour identifier les modifications suspectes apportées au groupe Administrateurs ESX ou d’autres signes potentiels d’exploitation de cette vulnérabilité.