L’article, publié par Mandiant, analyse les risques critiques liés à l’intégration de VMware vSphere avec Active Directory, en particulier face aux attaques par ransomware.
VMware vSphere est largement utilisé pour la virtualisation des infrastructures privées, mais l’intégration directe avec Microsoft Active Directory (AD), bien qu’elle simplifie la gestion, étend la surface d’attaque de l’AD au niveau de l’hyperviseur. Cette configuration peut transformer un compromis d’identifiants AD en une menace majeure pour l’infrastructure virtualisée.
L’article souligne que les ransomwares ciblant l’infrastructure vSphere, y compris les hôtes ESXi et le serveur vCenter, présentent un risque sévère en raison de leur capacité à paralyser immédiatement et largement l’infrastructure. Avec la fin du support général pour vSphere 7.x en octobre 2025, le danger de telles attaques devient urgent.
Mandiant recommande de comprendre les menaces spécifiques contre ces composants centraux et de mettre en œuvre des contre-mesures efficaces et unifiées pour éviter leur compromission. L’article détaille également les failles de sécurité inhérentes à l’utilisation de l’agent Likewise pour l’authentification AD, qui ne supporte pas les méthodes modernes comme l’authentification multi-facteurs (MFA).
Le but principal de cet article est de fournir une analyse technique des vulnérabilités et des recommandations pour améliorer la posture de sécurité face aux menaces actuelles.
🧠 TTPs et IOCs détectés
TTP
T1078 - Valid Accounts, T1486 - Data Encrypted for Impact, T1190 - Exploit Public-Facing Application, T1210 - Exploitation of Remote Services
IOC
Aucun IOC spécifique (hash, domaine, IP) n’est mentionné dans l’analyse fournie.
🔗 Source originale : https://cloud.google.com/blog/topics/threat-intelligence/vsphere-active-directory-integration-risks?hl=en