L’article publié sur le blog de Google Cloud traite des risques de sécurité critiques dans les environnements VMware vSphere intégrés avec Microsoft Active Directory.
L’analyse met en lumière comment des pratiques de configuration courantes peuvent créer des chemins d’attaque pour des ransomwares et compromettre l’infrastructure. Elle souligne que l’agent Likewise, utilisé pour l’intégration AD, manque de support MFA et de méthodes d’authentification modernes, transformant ainsi un compromis de crédentiel en scénario de prise de contrôle de l’hyperviseur.
Avec la fin de vie de vSphere 7 prévue pour octobre 2025 et l’augmentation des attaques de ransomwares ciblant les environnements ESXi, il est crucial pour les organisations de mettre en œuvre des mesures de renforcement, telles que le découplage d’ESXi d’AD, la modernisation de l’authentification et l’isolation des actifs de Tier 0.
L’analyse technique révèle que la dépendance de vSphere à l’agent Likewise déprécié pour l’intégration AD crée des lacunes de sécurité fondamentales, notamment l’absence de support MFA, la vulnérabilité aux attaques de relais de crédentiel, et l’escalade automatique des privilèges via les groupes ESX Admins. Les hyperviseurs ESXi ne peuvent pas exécuter d’agents EDR en raison de leur architecture spécialisée, créant ainsi des angles morts de sécurité.
Le document fournit également des détails techniques sur CVE-2024-37085, explique comment les APIs vCenter permettent un déploiement programmatique de ransomwares à grande échelle, et décrit des configurations de renforcement spécifiques, y compris des paramètres avancés ESXi, le chiffrement des machines virtuelles, et des stratégies de segmentation réseau pour protéger l’infrastructure critique de Tier 0. Cet article est une analyse technique visant à informer sur les vulnérabilités et les mesures de sécurité à adopter.
🧠 TTP et IOC détecté
TTP
T1078: Valid Accounts, T1078.003: Valid Accounts: Local Accounts, T1210: Exploitation of Remote Services, T1190: Exploit Public-Facing Application, T1071: Application Layer Protocol, T1566: Phishing, T1203: Exploitation for Client Execution, T1486: Data Encrypted for Impact, T1078.002: Valid Accounts: Domain Accounts, T1134: Access Token Manipulation, T1134.001: Access Token Manipulation: Token Impersonation/Theft, T1548: Abuse Elevation Control Mechanism, T1548.002: Abuse Elevation Control Mechanism: Bypass User Account Control
IOC
CVE-2024-37085
🔗 Source originale : https://cloud.google.com/blog/topics/threat-intelligence/vsphere-active-directory-integration-risks/