Selon Huntress (Tactical Response et SOC), une intrusion observée en décembre 2025 a mené au déploiement d’un kit d’exploits visant VMware ESXi pour réaliser une évasion de machine virtuelle. L’accès initial est évalué avec haute confiance via un VPN SonicWall compromis. L’outillage contient des chaînes en chinois simplifié et des indices d’un développement de type zero-day antérieur à la divulgation publique, suggérant un développeur bien doté en ressources dans une région sinophone. L’activité, stoppée par Huntress, aurait pu culminer en ransomware.

Points clés 🚨

  • Accès initial: très probablement via SonicWall VPN compromis.
  • Évasion de VM: exploitation de VMX/VMCI/HGFS pour sortir du bac à sable VMX et atteindre le noyau ESXi.
  • Portée: le toolkit supporte 155 builds ESXi (5.1 → 8.0); les versions en fin de vie restent exposées.
  • Angles morts réseau: le trafic VSOCK est invisible pour pare-feu/IDS; observation locale recommandée (ex: lsof -a sur ESXi, tel que mentionné dans les enseignements du rapport).
  • BYOD (Driver): usage de KDU pour charger des pilotes non signés et contourner la DSE; surveillance des pilotes vulnérables chargés.

Déroulé de l’intrusion 🧭

  • Mouvement latéral avec un compte Domain Admin vers le contrôleur de domaine de secours (RDP). Tentative de changement du mot de passe DA (Password01$) via Impacket, bloquée par Microsoft Defender for Endpoint géré par Huntress.
  • Reconnaissance: Advanced Port Scanner, SoftPerfect Network Scanner, ShareFinder (résultats vers C:\ProgramData\shares.txt).
  • Déploiement du kit d’exploit ESXi depuis le contrôleur de domaine primaire. Modification du pare-feu Windows pour bloquer la sortie Internet tout en conservant la connectivité interne (règles autorisant 10.0.0.0/8 et 172.16.0.0/12, et blocage externe global). Mise en scène d’exfiltration avec WinRAR (compression récursive et options d’inclusion).

Chaîne d’exploitation VM escape 🧰

  • Orchestrateur exploit.exe (MAESTRO) embarquant: MyDriver.sys (pilote non signé), kdu.exe (Kernel Driver Utility), devcon.exe, drv64.dll.
  • Phase 1: devcon.exe désactive les pilotes VMCI côté invité (PCI\VEN_15AD&DEV_0740 et ROOT\VMWVMCIHOSTDEV) pour accéder directement au matériel VMCI.
  • KDU charge le pilote non signé (bypass Driver Signature Enforcement) puis MyDriver.sys initie l’exploitation.
  • Le pilote identifie la version/build ESXi via la commande VMware Guest SDK (ex: « VMware ESX 8.0.0 build-24022510 »), puis sélectionne des offsets pré-calculés (table interne couvrant 155 builds).
  • Fuite d’infos HGFS (CVE-2025-22226) pour obtenir la base de VMX (bypass ASLR), via canaux « backdoor » VMware et activation toolbox-dnd; validation et calcul de vmxBase; ensuite, lecture/écriture dans la mémoire VMX, puis corruption VMCI/ESXi pour exécution noyau, conforme aux primitives décrites (TOCTOU VMCI et écriture arbitraire noyau).
  • Restauration des pilotes VMCI pour discrétion opérationnelle après réussite (statut 2 via \.\TDLD) 💡.

Vulnérabilités et éléments techniques 🧪

  • Vulnérabilités probablement exploitées (VMSA-2025-0004, confirmées exploitées in the wild):
    • CVE-2025-22226 (OOB read HGFS) – fuite mémoire du processus VMX.
    • CVE-2025-22224 (TOCTOU VMCI, OOB write) – exécution en tant que VMX.
    • CVE-2025-22225 (écriture arbitraire ESXi) – évasion du sandbox VMX vers le noyau.

IOCs et TTPs extraits

  • IOCs/Artefacts:
    • Fichiers/outils: Advanced_Port_Scanner_2.5.3869.exe; C:\Program Files\SoftPerfect Network Scanner\netscan.exe; ShareFinder; WinRAR; devcon.exe; kdu.exe; MyDriver.sys; drv64.dll; exploit.exe (MAESTRO); lien symbolique \.\TDLD.
    • Périphériques/IDs: PCI\VEN_15AD&DEV_0740, ROOT\VMWVMCIHOSTDEV.
    • Règles pare-feu Windows: Allow Local Network-2/-3 (autoriser 10/8, 172/12), Block External Outbound.
  • TTPs:
    • Accès initial via VPN SonicWall compromis; usage d’un compte DA.
    • RDP pour mouvement latéral; tentative Impacket de changement de mot de passe.
    • Recon réseau (Advanced Port Scanner, SoftPerfect), enumeration de partages (ShareFinder).
    • Blocage egress Internet, maintien latéral interne; staging exfil avec WinRAR.
    • Désactivation VMCI (devcon), BYOD driver (KDU) pour charger un pilote non signé.
    • Exploitation HGFS/VMCI/ESXi → fuite d’infos, corruption mémoire, élévation au noyau.

Il s’agit d’une analyse technique détaillée destinée à documenter une intrusion stoppée, l’outillage d’évasion ESXi et les vulnérabilités exploitées.

🧠 TTPs et IOCs détectés

TTP

[‘Accès initial via VPN SonicWall compromis’, “Utilisation d’un compte Domain Admin”, ‘Mouvement latéral via RDP’, ‘Tentative de changement de mot de passe avec Impacket’, ‘Reconnaissance réseau avec Advanced Port Scanner et SoftPerfect Network Scanner’, ‘Énumération de partages avec ShareFinder’, ‘Blocage egress Internet et maintien de la connectivité interne’, “Mise en scène d’exfiltration avec WinRAR”, ‘Désactivation des pilotes VMCI avec devcon’, ‘Utilisation de KDU pour charger un pilote non signé’, “Exploitation des vulnérabilités HGFS/VMCI/ESXi pour fuite d’informations, corruption mémoire et élévation au noyau”]

IOC

[‘Advanced_Port_Scanner_2.5.3869.exe’, ‘C:\Program Files\SoftPerfect Network Scanner\netscan.exe’, ‘ShareFinder’, ‘WinRAR’, ‘devcon.exe’, ‘kdu.exe’, ‘MyDriver.sys’, ‘drv64.dll’, ’exploit.exe (MAESTRO)’, ‘\\.\TDLD’, ‘PCI\VEN_15AD&DEV_0740’, ‘ROOT\VMWVMCIHOSTDEV’]

🔗 Source originale : https://www.huntress.com/blog/esxi-vm-escape-exploit