Une faille de sécurité présente dans VMware ESXi et déjà patchée depuis le mois de juin dernier est exploitée par le gang de ransomware BlackByte. Faisons le point sur cette menace.
Ce n’est pas la première fois que la faille de sécurité CVE-2024-37085 est exploitée par les cybercriminels. Fin juillet, Microsoft avait publié un rapport de sécurité pour évoquer cette tendance et l’exploitation massive par plusieurs groupes : Akira, Black Basta, etc. Les hyperviseurs « VMware ESXi » intégrés à un domaine Active Directory sont vulnérables, à cause d’un groupe de sécurité. Si un attaquant dispose d’autorisations suffisantes dans l’Active Directory, il peut obtenir un accès administrateur au serveur VMware ESXi.
Dans la pratique, l’attaquant doit parvenir à ajouter son compte utilisateur au groupe “ESXi Admins” présent dans l’Active Directory, afin d’obtenir les droits admin sur l’hyperviseur. Il s’agit d’un groupe créé automatiquement lors de l’intégration d’un ESXi au domaine, ce qui correspond donc à un comportement normal et souhaité lorsque l’on appartient à ce groupe. Ceci fonctionne aussi si le groupe est recréé alors qu’il avait été supprimé.
Cette faille de sécurité a été corrigée par VMware le 25 juin 2024 à l’occasion de la publication de VMware ESXi 8.0 U3.
Le ransomware BlackByte exploite la CVE-2024-37085
D’après un nouveau rapport publié par les chercheurs de Cisco Talos, les cybercriminels du groupe BlackByte ont exploité cette vulnérabilité lors de cyberattaques. BlackByte n’est pas nouveau dans le paysage des menaces puisqu’il a fait son apparition au cours du second semestre 2021. Il y a quelque temps, un outil de déchiffrement a été publié, mais il n’est plus valable, car les cybercriminels ne cessent de faire évoluer leur logiciel malveillant et d’adapter leur tactique.
“Lors d’enquêtes récentes, Talos IR a également observé que BlackByte utilisait des techniques qui s’écartent de son savoir-faire habituel, comme l’exploitation de CVE-2024-37085 – une vulnérabilité de contournement de l’authentification dans VMware ESXi.”, peut-on lire.
Grâce à l’exploitation de cette vulnérabilité, les cybercriminels peuvent contrôler les machines virtuelles, modifier la configuration de l’hyperviseur et accéder aux journaux du système. Les fichiers chiffrés par le ransomware héritent de l’extension “blackbytent_h“, ce qui serait nouveau.
De plus, cette nouvelle version du module de chiffrement dépose également quatre pilotes vulnérables dans le cadre de l’attaque BYOVD. Les quatre pilotes suivent une convention de nommage similaire : huit caractères alphanumériques aléatoires suivis d’un trait de soulignement et d’une valeur numérique incrémentielle. Voici un exemple fournit par les chercheurs :
- AM35W2PH – RtCore64.sys, un pilote initialement utilisé par MSI Afterburner, un utilitaire d’overclocking.
- AM35W2PH_1 – DBUtil_2_3.sys, un pilote qui fait partie de l’utilitaire de mise à jour du firmware Dell.
- AM35W2PH_2 – zamguard64.sys, un pilote qui fait partie de l’application Zemana Anti-Malware (ZAM).
- AM35W2PH_3 – gdrv.sys, un pilote qui fait partie du logiciel GIGABYTE Tools pour les cartes mères GIGABYTE.
Encore une fois de plus, VMware ESXi est une cible privilégiée par les attaquants…