Détection CVE-2024-37085 : des groupes de ransomware exploitent activement une vulnérabilité récemment corrigée dans les hyperviseurs VMware ESXi pour obtenir des privilèges administratifs complets
Table des matières :
Quelques semaines après la divulgation de CVE-2024-38112, une vulnérabilité critique exploitée par le groupe Void Banshee pour déployer le stealer Atlantida, une autre faille de sécurité est passée sous les feux de la rampe. Plusieurs groupes de rançongiciels ont militarisé une vulnérabilité récemment corrigée dans les hyperviseurs VMware ESXi suivie sous le nom de CVE-2024-37085 pour obtenir des privilèges élevés et distribuer des échantillons malveillants de chiffrement de fichiers.
Détecter les tentatives d’exploitation de CVE-2024-37085
En 2023 seulement, plus de 30 000 nouvelles vulnérabilités ont été identifiées. Ce chiffre a augmenté de 42 % en 2024, rendant la détection proactive des vulnérabilités l’un des cas d’utilisation les plus marquants à ce jour. La dernière vulnérabilité causant des menaces significatives pour les défenseurs cyber est une faille récemment corrigée de contournement d’authentification dans VMware ESXi (CVE-2024-37085) activement militarisée par des opérateurs de rançongiciels pour des attaques en cours.
Pour identifier les tentatives d’exploitation de CVE-2024-37085 à temps, les chercheurs en sécurité peuvent compter sur la plateforme SOC Prime pour une défense cyber collective, qui agrège du contenu de détection sélectionné accompagné de solutions avancées de détection et de chasse aux menaces pour renforcer la posture de sécurité de l’organisation. Appuyez simplement sur le Explorez les détections bouton ci-dessous et plongez immédiatement dans une pile de détection pertinente.
Toutes les règles sont compatibles avec plus de 30 solutions SIEM, EDR et Data Lake et mappées au cadre MITRE ATT&CK®. De plus, chaque détection est enrichie de métadonnées étendues, y compris des références CTI et des chronologies d’attaque, pour simplifier l’investigation des menaces.
Les professionnels de la sécurité cherchant une couverture de détection plus large pour enquêter sur l’activité malveillante des collectifs de rançongiciels exploitant CVE-2024-37085 peuvent rechercher sur le marché de détection des menaces de SOC Prime en utilisant des balises personnalisées correspondantes basées sur les identifiants des groupes : Storm-0506, Octo Tempest, Manatee Tempest, Akira, et Black Basta.
Analyse de CVE-2024-37085
Les chercheurs de Microsoft ont dévoilé CVE-2024-37085, une vulnérabilité récemment corrigée de gravité moyenne dans les hyperviseurs VMware ESXi, qui a été activement exploitée par divers opérateurs de rançongiciels pour le chiffrement de masse. CVE-2024-37085 est une vulnérabilité de contournement d’authentification avec un score CVSS de 6,8, permettant aux attaquants avec des permissions AD suffisantes de prendre le contrôle complet d’un hôte ESXi qui était précédemment configuré pour utiliser AD pour la gestion des utilisateurs.
Microsoft a signalé que des groupes de rançongiciels tels que Storm-0506, Storm-1175, Octo Tempest et Manatee Tempest ont utilisé la technique post-compromission pour déployer Akira and le rançongiciel Black Basta. Plus spécifiquement, cette technique adverse inclut l’exécution d’un ensemble de commandes, ce qui conduit à générer un groupe nommé « ESX Admins » dans le domaine et à y ajouter un utilisateur. Selon l’enquête, les attaquants ont utilisé la commande spécifique pour exploiter une vulnérabilité dans les hyperviseurs ESXi reliés au domaine, leur permettant d’escalader leurs privilèges pour un accès administrateur complet. Une analyse plus approfondie a révélé que les hyperviseurs VMware ESXi joints à un domaine Active Directory accordent automatiquement un accès administratif complet à tout membre d’un groupe de domaine nommé « ESX Admins », ce qui rend CVE-2024-37085 facile à exploiter.
Les chercheurs de Microsoft fournissent trois méthodes possibles d’exploitation de CVE-2024-37085, qui incluent la création d’un groupe de domaine nommé « ESX Admins » par les attaquants et leur ajout ou l’ajout d’autres personnes, le renommage d’un groupe de domaine existant en « ESX Admins » et l’ajout d’utilisateurs, ou le rafraîchissement des privilèges de l’hyperviseur ESXi.
En conséquence d’une exploitation réussie, les adversaires acquièrent un accès administratif complet aux hyperviseurs ESXi, leur donnant le feu vert pour chiffrer le système de fichiers de l’hyperviseur, ce qui peut potentiellement perturber le fonctionnement des serveurs hébergés. De plus, cela permet aux attaquants d’accéder aux VM hébergées et facilite l’exfiltration de données et le mouvement latéral.
Pour aider les défenseurs à minimiser les risques associés aux attaques exploitant CVE-2024-37085, les organisations avec des hyperviseurs ESXi rejoints au domaine sont invitées à installer les dernières mises à jour de sécurité fournies par VMware pour corriger CVE-2024-37085, suivre les meilleures pratiques en matière d’hygiène des identifiants, renforcer la posture des actifs critiques de l’organisation et déployer systématiquement des analyses authentifiées des appareils réseau pour identifier les angles morts potentiels en temps opportun. SOC Prime’s Attack Detective permet aux organisations de sécuriser leur posture SIEM avec un plan d’action pour maximiser la visibilité des menaces et combler les lacunes de couverture de détection tout en renforçant leur stratégie de cybersécurité avec des décisions éclairées.
