Exploitation d’une vulnérabilité CVE-2024-37085 dans les hyperviseurs ESXi par des opérateurs de ransomware 

L’équipe Microsoft Threat intelligence a découvert que la vulnérabilité CVE-2024-37085 datant de juin 2024 (connue et corrigée) concernant les hyperviseurs ESXi, permet à des attaquants de rançongiciel comme Black Basta d’obtenir les privilèges les plus élevés sur l’infrastructure de virtualisation et de chiffrer l’ensemble de l’infrastructure en exploitant des permissions par défaut dans le groupe « ESXi Admins » ou « ESX Admins » dans l’annuaire Active Directory. Pour cela, il suffit d’ajouter un utilisateur au groupe « ESX Admins » pour devenir administrateur du serveur de virtualisation. De plus, si ce groupe a été supprimé et que l’attaquant parvient à le recréer, l’exploitation est également possible : c’est ce comportement qui est à l’origine de l’attribution en tant que vulnérabilité.

Protection et remédiation

• Appliquer les correctifs de sécurité fournis par VMware et notamment les correctifs du bulletin suivant : https://cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0519/.
• Vérifier l’existence ou créer le groupe « ESX Admins » dans l’annuaire Active Directory et durcir son paramétrage. 

Améliorer la posture de sécurité de votre infrastructure de virtualisation VMWare

Pour se prémunir contre ce type de menace, il est essentiel d’appliquer les recommandations du guide de sécurisation d’une infrastructure VMWare élaboré par l’ANSSI et dont vous parlions précédemment.

En particulier, il est essentiel de maintenir votre infrastructure de virtualisation à jour et de mettre en place une architecture sécurisée (et en particulier ne pas administrer votre infrastructure VMWare depuis des comptes de l’annuaire Active Directory).

Source : https://www.microsoft.com/en-us/security/blog/2024/07/29/ransomware-operators-exploit-esxi-hypervisor-vulnerability-for-mass-encryption/

Partager :

• Partager cette page sur Linkedin
• Imprimer