Même si elle réduit considérablement les risques de cybermenaces, la virtualisation n’est pas plus efficace que n’importe quelle autre pratique. Comme l’a récemment observé ZDNet, une attaque de ransomware peut toujours toucher une structure virtuelle, par exemple via les versions vulnérables de VMware ESXi.
L’utilisation de machines virtuelles est une pratique sûre. Par exemple, une machine virtuelle peut atténuer les dommages causés par une infection si elle ne contient pas de données sensibles. Même si l’utilisateur active sans le vouloir un cheval de Troie sur une machine virtuelle, le simple fait de monter une image fraîche de la machine annule tous les changements malveillants.
Cependant, le ransomware RansomExx cible en particulier les vulnérabilités de VMware ESXi afin de s’en prendre aux disques durs virtuels. Le groupe Darkside utilise apparemment la même méthode, et les créateurs du cheval de Troie BabukLocker disent être capables de chiffrer ESXi.
Quelles sont les vulnérabilités ?
L’hyperviseur VMware ESXi permet à plusieurs machines virtuelles de stocker des informations sur un même serveur via Open SLP (Service Layer Protocol), qui peut, entre autres, détecter les dispositifs de réseau sans préconfiguration. Les deux vulnérabilités en question sont CVE-2019-5544 et CVE-2020-3992, toutes les deux quelque peu anciennes et donc pas inconnues des cybercriminels. La première est utilisée pour effectuer des attaques de dépassement de tas (heap overflow en anglais), et la deuxième est une vulnérabilité de type use after free qui est liée à l’utilisation incorrecte de la mémoire dynamique lors du fonctionnement du programme.
Les deux vulnérabilités ont été éliminées il y un petit moment déjà (la première en 2019 et la deuxième en 2020), mais en 2021, les criminels continuent de mener des attaques fructueuses en les utilisant. Comme d’habitude, cela signifie que certains organismes n’ont pas mis à jour leur logiciel.
Comment les malfaiteurs exploitent les vulnérabilités de ESXi
Les hackers peuvent utiliser les vulnérabilités afin de générer des demandes malveillantes de SLP et compromettre le stockage des données. Pour chiffrer les informations, ils doivent en premier lieu pénétrer à l’intérieur du réseau et y créer un point d’ancrage. Ce n’est pas si difficile, surtout si la machine virtuelle ne possède pas de solution de sécurité.
Pour s’enraciner dans le système, les opérateurs de RansomExx peuvent, par exemple, utiliser la vulnérabilité Zerologon (dans Netlogon Remote Protocol). Cela signifie qu’ils piègent un utilisateur pour qu’il rentre un code malveillant sur la machine virtuelle, puis ils prennent le contrôle du contrôleur de domaine Active Directory et seulement ensuite chiffrent ce qui y est stocké, en laissant derrière eux une demande de rançon.
Zerologon n’est pas la seule option, mais c’est l’une des plus dangereuses car son exploitation est presque impossible à détecter sans service particulier.
Comment rester protégé des attaques contre MSXI
- Mettez à jour VMware ESXi ;
- Utilisez une solution de contournement recommandée par VMware s’il est absolument impossible de faire une mise à jour (mais sachez que cette méthode limitera les fonctions de SLP) ;
- Mettez également à jour Microsoft Netlogon afin de corriger la vulnérabilité ;
- Protégez toutes les machines présentes sur le réseau, y compris les machines virtuelles ;
- Utilisez Managed Detection and Response; cette solution peut détecter les attaques complexes à plusieurs étapes, contrairement aux logiciels antivirus classiques.