{"id":16674,"date":"2021-03-30T13:34:21","date_gmt":"2021-03-30T13:34:21","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=16674"},"modified":"2021-03-30T13:34:21","modified_gmt":"2021-03-30T13:34:21","slug":"ransomware-in-virtual-environment","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/ransomware-in-virtual-environment\/16674\/","title":{"rendered":"Ransomware et virtualisation"},"content":{"rendered":"

M\u00eame si elle r\u00e9duit consid\u00e9rablement les risques de cybermenaces, la virtualisation n\u2019est pas plus efficace que n\u2019importe quelle autre pratique. Comme l\u2019a r\u00e9cemment observ\u00e9 ZDNet<\/a>, une attaque de ransomware peut toujours toucher une structure virtuelle, par exemple via les versions vuln\u00e9rables de VMware ESXi.<\/p>\n

L\u2019utilisation de machines virtuelles est une pratique s\u00fbre. Par exemple, une machine virtuelle peut att\u00e9nuer les dommages caus\u00e9s par une infection si elle ne contient pas de donn\u00e9es sensibles. M\u00eame si l\u2019utilisateur active sans le vouloir un cheval de Troie sur une machine virtuelle, le simple fait de monter une image fra\u00eeche de la machine annule tous les changements malveillants.<\/p>\n

Cependant, le ransomware RansomExx<\/a> cible en particulier les vuln\u00e9rabilit\u00e9s de VMware ESXi afin de s\u2019en prendre aux disques durs virtuels. Le groupe Darkside utilise apparemment la m\u00eame m\u00e9thode, et les cr\u00e9ateurs du cheval de Troie BabukLocker disent \u00eatre capables<\/a> de chiffrer ESXi.<\/p>\n

Quelles sont les vuln\u00e9rabilit\u00e9s ?<\/h2>\n

L\u2019hyperviseur VMware ESXi permet \u00e0 plusieurs machines virtuelles de stocker des informations sur un m\u00eame serveur via Open SLP (Service Layer Protocol<\/em>), qui peut, entre autres, d\u00e9tecter les dispositifs de r\u00e9seau sans pr\u00e9configuration. Les deux vuln\u00e9rabilit\u00e9s en question sont CVE-2019-5544<\/a> et CVE-2020-3992<\/a>, toutes les deux quelque peu anciennes et donc pas inconnues des cybercriminels. La premi\u00e8re est utilis\u00e9e pour effectuer des attaques de d\u00e9passement de tas (heap overflow<\/em><\/a> en anglais), et la deuxi\u00e8me est une vuln\u00e9rabilit\u00e9 de type use after free<\/em><\/a> qui est li\u00e9e \u00e0 l\u2019utilisation incorrecte de la m\u00e9moire dynamique lors du fonctionnement du programme.<\/p>\n

Les deux vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 \u00e9limin\u00e9es il y un petit moment d\u00e9j\u00e0 (la premi\u00e8re en 2019 et la deuxi\u00e8me en 2020), mais en 2021, les criminels continuent de mener des attaques fructueuses en les utilisant. Comme d\u2019habitude, cela signifie que certains organismes n\u2019ont pas mis \u00e0 jour leur logiciel.<\/p>\n

Comment les malfaiteurs exploitent les vuln\u00e9rabilit\u00e9s de ESXi<\/h2>\n

Les hackers peuvent utiliser les vuln\u00e9rabilit\u00e9s afin de g\u00e9n\u00e9rer des demandes malveillantes de SLP et compromettre le stockage des donn\u00e9es. Pour chiffrer les informations, ils doivent en premier lieu p\u00e9n\u00e9trer \u00e0 l\u2019int\u00e9rieur du r\u00e9seau et y cr\u00e9er un point d\u2019ancrage. Ce n\u2019est pas si difficile, surtout si la machine virtuelle ne poss\u00e8de pas de solution de s\u00e9curit\u00e9.<\/p>\n

Pour s\u2019enraciner dans le syst\u00e8me, les op\u00e9rateurs de RansomExx peuvent, par exemple, utiliser la vuln\u00e9rabilit\u00e9 Zerologon<\/a> (dans Netlogon Remote Protocol). Cela signifie qu\u2019ils pi\u00e8gent un utilisateur pour qu\u2019il rentre un code malveillant sur la machine virtuelle, puis ils prennent le contr\u00f4le du contr\u00f4leur de domaine Active Directory et seulement ensuite chiffrent ce qui y est stock\u00e9, en laissant derri\u00e8re eux une demande de ran\u00e7on.<\/p>\n

Zerologon n\u2019est pas la seule option, mais c\u2019est l\u2019une des plus dangereuses car son exploitation est presque impossible \u00e0 d\u00e9tecter sans service particulier<\/a>.<\/p>\n

Comment rester prot\u00e9g\u00e9 des attaques contre MSXI<\/h2>\n