Au-delà de la commodité : Exposer les risques de l'intégration d'Active Directory de VMware vSphere

Le vSphere de VMware de Broadcom demeure crucial pour la virtualisation du cloud privé, avec des charges de travail qui reviennent des clouds publics. L'intégration directe de vSphere avec Active Directory (AD) simplifie l'administration, mais crée une vulnérabilité de sécurité significative. La compromission des informations d'identification AD permet d'accéder à l'hyperviseur, ce qui permet de contrôler les hôtes ESXi et vCenter. Les rançongiciels ciblant vSphere provoquent une paralysie de l'infrastructure à grande échelle, en particulier avec la fin prochaine du support de vSphere 7.x. Une défense proactive est cruciale en raison de la difficulté et du coût de récupération après de telles attaques. Les risques inhérents à l'intégration AD de vSphere sont souvent sous-estimés, en raison d'une architecture héritée et d'hypothèses de sécurité dépassées. La nature spécialisée de l'hyperviseur ESXi empêche l'utilisation d'outils de sécurité standard tels que les agents EDR, laissant ainsi une vulnérabilité. Les acteurs menaçants ciblent de plus en plus l'hyperviseur en raison de cette faille, en utilisant des informations d'identification compromises et des erreurs de configuration. Les rançongiciels hyperviseur-aware chiffrant les disques virtuels, désactivent simultanément de nombreux VM, ce qui pose une menace grave. La compréhension du fonctionnement de l'agent Likewise, responsable de l'intégration AD de vSphere, révèle des vulnérabilités dans l'authentification et les relations de confiance par défaut.