Comment corriger la vulnérabilité CVE-2024-37085 dans VMware ESXi intégré à un domaine Active Directory ?
Microsoft a récemment signalé une vulnérabilité touchant les hyperviseurs “VMware ESXi” intégrés à un domaine Active Directory, largement exploitée lors de cyberattaques. Voici les détails.
Une vulnérabilité risquée
Le rapport de cybersécurité de Microsoft Threat Intelligence met en lumière la faille de sécurité CVE-2024-37085, déjà corrigée par VMware depuis juin 2024. Cette vulnérabilité présente un risque important lors de l’intégration de l’hyperviseur à l’annuaire Active Directory.
En effet, selon Microsoft, cette vulnérabilité ouvre la porte à un accès administrateur complet à l’hyperviseur sans validation adéquate, si un attaquant dispose des autorisations nécessaires dans l’Active Directory. L’ajout du compte utilisateur de l’attaquant au groupe “ESXi Admins” permet d’exploiter la faille, même si ce groupe a été supprimé et recréé par l’attaquant.
Une cible pour les ransomwares
L’exploitation de cette vulnérabilité a été observée lors d’attaques menées par plusieurs groupes de cybercriminels, notamment lors de l’utilisation des ransomwares Akira et Black Basta. Microsoft mentionne la hausse des attaques ciblant les hyperviseurs ESXi au cours des dernières années, soulignant le risque accru pour les serveurs VMware ESXi intégrés à l’Active Directory.
La compréhension du contrôle de l’hyperviseur ouvre la voie à diverses actions pour les attaquants, y compris le chiffrement des machines virtuelles avec des ransomwares. Cette vulnérabilité constitue donc un maillon essentiel dans les attaques menées par des groupes de cybercriminels.
Il est crucial de rester vigilant face à ces vulnérabilités et de prendre les mesures nécessaires pour protéger les hyperviseurs VMware ESXi contre de telles attaques.
Source : www.it-connect.fr
