Responsables de la sécurité des systèmes d’information, à vos patchs ! Microsoft vient de signaler l’exploitation d’une vulnérabilité dans les hyperviseurs ESXi par plusieurs opérateurs de rançongiciel.
Selon la firme de Redmond, ces cybercriminels utilisent la faille, dénommée CVE-2024-3705, pour obtenir un accès complet au système d’information. La vulnérabilité a déjà été signalée à VMware, l’éditeur de l’hyperviseur, qui l’a corrigé le 25 juin dernier.
Création de groupe
Son principe est relativement simple, jouant sur une faille dans l’intégration d’Active directory au logiciel de VMware.
Si l’on crée dans Active directory un groupe dénommé “ESX Admins” et si l’on ajoute un utilisateur à ce groupe, l’hyperviseur considère que ce groupe dispose par défaut d’un accès complet.
La manœuvre marche également si on renomme un groupe du domaine. Exploitée par différents gangs – Storm-0506, Storm-1175, Octo Tempest et Manatee Tempest dans la nomenclature de l’entreprise – , elle a conduit au déploiement de rançongiciels Akira et Black Basta, notamment contre une société d’ingénierie en Amérique du nord, précise Microsoft.
Cible de choix
Pour ce dernier exemple, les attaquants avaient au préalable obtenu un accès initial après une infection par le malware Qakbot.
Puis ils ont exploité une faille dans Windows pour obtenir davantage de droits sur les appareils visés. Avant ensuite de tenter de prendre le contrôle de nouveaux appareils. Les pirates avaient alors créé le groupe “ESX Admins” avant de déployer le rançongiciel.
En février 2021, une vague d’attaques par rançongiciel avaient déjà visé des infrastructures ESXi. Les attaquants exploitaient alors la faille CVE-2021-21974. Une vulnérabilité qui avait fini dans le “top 5” des failles les plus exploitées en 2022, avait remarqué au début de l’année 2023 l’Anssi.