22 décembre 2024

Krusell France

Ta dose d'actu digital !

Comment se protéger contre l’exploitation de la faille CVE-2024-37085 dans VMware ESXi

VMware ESXi ciblé par le ransomware BlackByte - CVE-2024-37085
Rate this post

Une faille de sécurité a été récemment découverte dans VMware ESXi et a déjà été corrigée depuis juin dernier, mais elle est désormais exploitée par le gang de ransomware BlackByte. Focus sur cette menace.

La faille CVE-2024-37085 exploitée par BlackByte

Cette faille de sécurité, identifiée sous le numéro CVE-2024-37085, a été exploitée par des cybercriminels, notamment le groupe BlackByte. Il s’agit d’une vulnérabilité affectant les hyperviseurs “VMware ESXi” intégrés à un domaine Active Directory. Si un attaquant a les autorisations nécessaires dans l’Active Directory, il peut accéder en tant qu’administrateur au serveur VMware ESXi.

Pour que l’attaquant puisse obtenir des droits administrateur sur l’hyperviseur, il doit simplement ajouter son compte utilisateur au groupe “ESXi Admins” présent dans l’Active Directory. Ce groupe est automatiquement créé lors de l’intégration d’un ESXi au domaine, et même s’il est supprimé et recréé, l’exploitation de la faille reste possible.

VMware a corrigé cette faille le 25 juin 2024 avec la publication de VMware ESXi 8.0 U3.

BlackByte et la vulnérabilité CVE-2024-37085

Selon un rapport de Cisco Talos, le groupe de cybercriminels BlackByte a exploité la faille CVE-2024-37085 lors de leurs attaques. BlackByte, présent depuis le second semestre 2021, continue d’adapter ses tactiques et logiciels malveillants pour rester une menace constante.

Grâce à cette vulnérabilité, les cybercriminels peuvent contrôler les machines virtuelles, modifier la configuration de l’hyperviseur et accéder aux journaux du système. Les fichiers chiffrés par le ransomware se voient attribuer l’extension “blackbytent_h”, ce qui est une nouveauté.

Une nouvelle version du module de chiffrement dépose également quatre pilotes vulnérables dans le cadre de l’attaque BYOVD. Ces pilotes ont une convention de nommage spécifique et vont jusqu’à cibler des pilotes de logiciels tiers connus.

Encore une fois, VMware ESXi est une cible privilégiée par les attaquants…

Source : www.it-connect.fr

  • julien castex redacteur tech

    Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.

    Voir toutes les publications