Microsoft a découvert une vulnérabilité dans l'hyperviseur ESXi développé par VMware qui permet aux pirates de prendre le contrôle total des serveurs utilisant ce logiciel. Elle appelle également les utilisateurs de ces serveurs à prendre des mesures immédiates pour contrer les attaques exploitant cette vulnérabilité.

ESXi est un hyperviseur de type 1, également appelé hyperviseur sans système d'exploitation. Cela signifie que le logiciel agit comme un système d'exploitation installé directement sur le serveur physique physique. Contrairement aux hyperviseurs de type 2, les hyperviseurs de type 1 ne fonctionnent pas sur un système d'exploitation tel que Windows ou Linux. Par conséquent, prendre le contrôle de l’hyperviseur ESXi donne aux attaquants une énorme opportunité d’y parvenir.

La vulnérabilité (numérotée CVE-2024-37085) permet aux attaquants ayant déjà obtenu certains droits système limités sur un serveur cible d'obtenir le contrôle administratif complet de l'hyperviseur ESXi. L'étude a montré que des pirates informatiques (appartenant à des groupes tels que Storm-0506, Storm-1175, Octo Tempest et Manatee Tempest) attaquent les serveurs depuis plusieurs mois et on soupçonne que pendant cette période, ils ont réussi à prendre le contrôle d'un certain nombre de Systèmes informatiques.

Un contrôle administratif total sur l'hyperviseur offre aux attaquants diverses options. Ils peuvent donc chiffrer les systèmes de fichiers ou même désactiver l’intégralité du serveur. En prendre le contrôle pourrait également leur permettre d’accéder à des machines virtuelles hébergées pour voler des données. Microsoft a découvert la vulnérabilité lors des procédures standard d'enquête sur les incidents et l'a déjà signalée à VMware. qui l'a corrigée la semaine dernière.

A lire également