I. Présentation

Comment forcer l'arrêt d'une machine virtuelle VMware Workstation qui est figée et refuse de s'arrêter ? C'est la question à laquelle nous allons répondre dans ce tutoriel. Cette manipulation simple permet de se sortir d'une situation qui n'est pas agréable.

• Débuter avec VMware Workstation
• Télécharger VMware Workstation

II. Le cas de figure

Pour cet exemple, une machine virtuelle Ubuntu complètement plantée sera utilisée. En effet, Ubuntu est particulièrement capricieux avec VMware Workstation et il n'est pas rare que la VM freeze... La VM en question s'appelle "Ubuntu-2404".

Comme nous pouvons le voir, elle affiche un écran noir et les commandes d'extinction habituelles ne sont pas accessibles. Elles sont grisées. Preuve qu'il y a un réel souci avec cette VM.

VMware Workstation indique que la machine virtuelle est occupée : "Virtual machine Ubuntu-2404 is busy".

Comment se sortir de cette situation ? C'est ce que nous allons voir dans la suite de cet article.

III. Tuer le processus VMX de VMware

Chaque machine virtuelle exécutée par l'intermédiaire de la plateforme VMware Workstation est associée à un processus "vmware-vmx" en charge de son exécution. Pour forcer l'arrêt de la VM, il convient de tuer le processus "vmware-vmx" correspondant à cette VM.

Ceci est possible via PowerShell, comme le montre l'exemple ci-dessous

Vous pouvez également utiliser le "Gestionnaire des tâches" de Windows. La logique est la même : rechercher le processus et l'arrêter. Ceci peut être fait l'onglet "Détails" de l'interface, ou via l'onglet "Processus".

Lorsqu'il y a plusieurs processus "vmware-vmx.exe", comment savoir à quelle VM correspond chaque processus ? Pour obtenir une réponse, nous allons utiliser PowerShell ! La commande ci-dessous s'appuie sur la propriété "CommandLine" du processus pour récupérer le chemin vers le VMX.

Get-WmiObject Win32_Process -Filter "Name = 'vmware-vmx.exe'" | Select ProcessId, Name, @{Name = 'VmxFile'; Expression = { ($_.CommandLine.Split(";").Replace("msgs=ui ",""))[-1] }}

Voici un exemple de résultat :

Ensuite, il suffit d'arrêter le processus en précisant son ID :

Get-Process -Id 39584 | Stop-Process

Après avoir effectué cette action , la VM est arrêtée et elle peut être démarrée de nouveau !

Si vous utilisez Ubuntu avec VMware Workstation et que la VM fige très régulièrement, je vous recommande de désactiver l'option "Accelerate 3D graphics" dans les paramètres de la machine virtuelle en question. Ce paramètre se situe dans la section "Display" des paramètres.

IV. Conclusion

Grâce à cette astuce, vous êtes en mesure de forcer l'arrêt de n'importe quelle machine virtuelle sur votre PC équipé de VMware Workstation !

The post VMware Workstation – Comment forcer l’arrêt d’une machine virtuelle figée ? first appeared on IT-Connect.

Reptile et Medusa, c'est le nom de deux rootkits Linux utilisés par des cybercriminels pour infecter les machines virtuelles VMware ESXi ! Grâce à ces logiciels malveillants, ils peuvent mener différentes actions sur l'infrastructure compromise. Faisons le point.

Le groupe de cybercriminels traqué sous le nom "UNC3886" est suivi depuis plusieurs années par les chercheurs de Mandiant. Un nouveau rapport publié cette semaine met en lumière l'utilisation de rootkits open source pour avoir un accès à la fois persistant et discret sur les machines virtuelles VMware ESXi.

Depuis mars 2023, les cybercriminels d'UNC3886 exploitent des failles de sécurité zero-day dans les produits Fortinet et VMware pour cibler des organisations situées aux quatre coins du monde. "La majorité des organisations auxquelles Mandiant a répondu ou qu'il a identifiées comme cibles dans le cadre de ses propres analyses sont situées en Amérique du Nord, en Asie du Sud-Est ou en Océanie. Cependant, nous avons également identifié des victimes supplémentaires en Europe, en Afrique et dans d'autres parties de l'Asie.", précise le rapport. Divers secteurs d'activités sont ciblés (aérospatiale, télécommunications, technologie, défense, énergie) ainsi que des entités gouvernementales.

Sur les infrastructures VMware, le serveur vCenter semble être la cible privilégiée. C'est compréhensible, car c'est la clé pour ensuite avoir la maitrise de l'ensemble de l'infrastructure virtuelle. À ce sujet, Mandiant précise : "Après avoir exploité des vulnérabilités de type "zero-day" pour accéder aux serveurs vCenter et aux serveurs ESXi gérés par la suite, l'attaquant a obtenu le contrôle total des machines virtuelles invitées qui partageaient le même serveur ESXi et le serveur vCenter."

L'entrée en jeu des rootkits REPTILE et MEDUSA

Par la suite, ce sont les rootkits REPTILE et MEDUSA qui sont déployés par les cybercriminels. Le rootkit REPTILE se présente sous la forme d'un module chargé par le noyau de la machine ("Loadable Kernel Module" - LKM) et il a deux composants principaux nommés "REPTILE.CMD" et "REPTILE.SHELL".

Le rootkit REPTILE joue le rôle de porte dérobée pour les attaquants, ce qui leur permet d'avoir un accès au système infecté. Ainsi, ils peuvent s'appuyer sur ce rootkit pour exécuter du code et transférer des fichiers de façon discrète. La technique du port knocking est notamment utilisée pour accéder aux machines infectées.

Quant au rootkit MEDUSA, il est utilisé par les cybercriminels pour exécuter des commandes, mais aussi pour collecter les identifiants et les mots de passe, à chaque fois qu'une authentification locale ou distante est réussie. "L'utilisation de REPTILE a généralement été observée après que l'attaquant soit parvenu à accéder à des endpoints compromis où il a été utilisé pour déployer d'autres logiciels malveillants, des keyloggers et des utilitaires.", précise Mandiant.

En complément, UNC3886 a été observé en train d'utiliser de nombreux outils malveillants sur les systèmes compromis : Mopsled, Riflespine, Lookover, etc. Le rapport de Mandiant explique précisément l'intérêt et le fonctionnement de chacun de ces outils. Par exemple, voici l'objectif de Riflespine : "RIFLESPINE est une porte dérobée multiplateforme qui exploite Google Drive pour transférer des fichiers et exécuter des commandes."

Enfin, la liste complète des indicateurs de compromission et des règles YARA associés à l'activité d'UNC3886 est disponible à la toute fin du rapport de Mandiant.

Source

The post Ces rootkits Linux sont utilisés par les pirates pour contrôler les VMs sur VMware ESXi first appeared on IT-Connect.

Plusieurs failles de sécurité critiques ont été corrigées dans la solution VMware vCenter Server ! Ces faiblesses permettent d'exécuter du code à distance sur le serveur et d'élever ses privilèges en local. Faisons le point.

Pour rappel, la solution vCenter Server joue un rôle clé sur les infrastructures VMware puisqu'elle permet de centraliser la gestion des serveurs VMware ESXi et de leurs machines virtuelles. Compromettre le serveur vCenter offre à l'attaquant la possibilité de prendre le contrôle complet de l'infrastructure virtualisée.

Sur le site de support de Broadcom, désormais propriétaire de VMware depuis plusieurs mois, un nouveau bulletin de sécurité a été mis en ligne pour évoquer ces 3 nouvelles failles de sécurité : CVE-2024-37079, CVE-2024-37080, et CVE-2024-37081.

Voici des précisions sur ces vulnérabilités :

- CVE-2024-37079 - Score CVSS v3.1 de 9.8 sur 10 : une faille de sécurité de type "heap-overflow" dans l'implémentation du protocole DCERPC de vCenter Server. En l'exploitant, un attaquant connecté au réseau du vCenter peut envoyer des paquets spéciaux dans le but d'effectuer une exécution de code à distance sur le serveur pris pour cible.

CVE-2024-37080 - Score CVSS v3.1 de 9.8 sur 10 : une faille de sécurité similaire à la précédente puisqu'elle est aussi de type "heap-overflow" et qu'elle est présente également dans le protocole DCERPC de vCenter Server. Les conséquences sont les mêmes : une potentielle exécution de code à distance sur le serveur vCenter.

- CVE-2024-37081 - Score CVSS v3.1 de 7.8 sur 10 : une faille de sécurité liée à une mauvaise configuration de l'outil "sudo" dans vCenter Server. Grâce à cette vulnérabilité, un utilisateur local authentifié peut élever ses privilèges en tant que "root" sur l'Appliance vCenter Server.

Vous l'aurez compris, nous avons deux failles de sécurité critiques et une faille de sécurité importante. Mais, alors, qui est affecté et comment se protéger ?

vCenter Server : se protéger des CVE-2024-37079, CVE-2024-37080, et CVE-2024-37081

Ces trois vulnérabilités affectent les versions 7.0 et 8.0 de la solution VMware vCenter Server, ainsi que les versions 4.x et 5.x de VMware Cloud Foundation. Ainsi, VMware a publié de nouvelles versions pour patcher ces vulnérabilités. C'est la seule solution pour se protéger, car VMware ne propose pas de solution alternative : "Des solutions de remplacement à l'intérieur du produit ont été étudiées, mais il a été établi qu'elles n'étaient pas viables.", peut-on lire.

Voici les versions faisant office de patch :

• VMware vCenter Server 8.0 U2d,
• VMware vCenter Server 8.0 U1e,
• VMware vCenter Server 7.0 U3r

En complément, vous pouvez consulter cette FAQ mise à disposition par VMware. Pour les versions Cloud Foundation, référez-vous à cette page.

Source

The post Des failles de sécurité RCE ont été corrigées dans VMware vCenter : patchez votre serveur ! first appeared on IT-Connect.

VMware Workstation provides three default network types, one of which is NAT. This option includes a built-in DHCP server, but its functionality is limited. Consequently, you might need to set up your own DHCP server within a virtual machine.

Les environnements VMware ESXi sont pris pour cible par une nouvelle variante du ransomware TargetCompany, qui vient s'ajouter à la liste des menaces capables de chiffrer les VM des hyperviseurs de VMware. Faisons le point.

Le ransomware TargetCompany, aussi connu sous les noms de Mallox, FARGO et Tohnichi, a été repéré pour la première fois en juin 2021. Dans un premier temps, il a surtout été utilisé pour mener des attaques contre les serveurs de gestion de base de données, que ce soit MySQL, SQL Server ou encore Oracle, en Corée du Sud, en Thaïlande, en Inde et à Taïwan.

Puis, en février 2022, Avast a publié un outil de déchiffrement pour TargetCompany afin d'aider les victimes de ce ransomware à récupérer leurs données gratuitement. Malgré ce coup porté par Avast, le gang de ransomware TargetCompany est rapidement revenu sur le devant de la scène... Notamment en s'attaquant aux serveurs Windows.

Mais, désormais, Trend Micro nous apprend qu'une nouvelle variante de TargetCompany pour Linux cible particulièrement les hyperviseurs VMware ESXi.

VMware ESXi dans le viseur du ransomware TargetCompany

C'est par l'intermédiaire d'un script shell exécuté sur l'hôte compromis que le logiciel malveillant effectue un ensemble de vérifications, pour déterminer sur quel environnement il se situe. Il cherche à déterminer s'il s'exécute sur un serveur VMware ESXi grâce à l'exécution de la commande "uname" à la recherche du mot clé "vmkernel".

"Le groupe de ransomwares TargetCompany emploie désormais une nouvelle variante Linux qui utilise un script shell personnalisé comme moyen de diffusion et d'exécution de la charge utile, une technique que l'on ne retrouvait pas dans les variantes précédentes.", précise Trend Micro dans son rapport.

En complément, il génère un fichier nommé "TargetInfo.txt" qui recense des informations sur la victime telles que le nom d'hôte, l'adresse IP, l'OS du serveur, l'utilisateur utilisé par le malware, etc.... Et ce fichier est envoyé vers le serveur C2 des attaquants.

S'il est exécuté sur un hyperviseur VMware ESXi, le ransomware passe à l'action dans le but de chiffrer les machines virtuelles. TargetCompany chiffre tous les fichiers relatifs aux machines virtuelles : VMDK, VMEM, VSWP, VMX, VMSN, NVRAM. Les fichiers chiffrés héritent de l'extension ".locked".

Enfin, une demande de rançon nommée "HOW TO DECRYPT.txt" est déposée sur le serveur et le malware termine en supprimant ses traces pour rendre plus difficile les futures investigations. "Une fois que le ransomware a exécuté sa routine, le script supprime la charge utile TargetCompany à l'aide de la commande "rm -f x".", précise Trend Micro.

Consultez le rapport de Trend Micro pour obtenir des détails supplémentaires, notamment les indicateurs de compromission et les URL utilisées par les attaquants.

Source

The post Une nouvelle variante Linux du ransomware TargetCompany cible VMware ESXi ! first appeared on IT-Connect.

VirtualGHOST, c'est le nom d'un nouvel outil publié par CrowdStrike dont l'objectif de mettre en évidence ce que l'on pourrait appeler des machines virtuelles fantômes, cachées sur les hôtes VMware ESXi. Leur présence fait suite à une intrusion par un attaquant. Faisons le point !

À plusieurs reprises, les équipes de CrowdStrike ont identifié des machines virtuelles suspectes sur des infrastructures VMware. Suspectes, car il s'agit de machines virtuelles cachées, en cours d'exécution, et invisibles à partir de l'interface utilisateur utilisée pour administrer la plateforme VMware.

Autrement dit, la VM créée par les attaquants n'apparaît pas dans l'inventaire de VMware ESXi, ni dans celui du vCenter. Pour démarrer la machine virtuelle de façon discrète, l'attaquant doit opérer à partir de la ligne de commande d'un hyperviseur ESXi compromis. En réponse à cette nouvelle technique émergente, l'entreprise américaine CrowdStrike a développé un outil de détection nommé VirtualGHOST ! C'est d'ailleurs le surnom donné par CrowdStrike à ces fameuses machines virtuelles.

Cet outil, disponible sur GitHub, s'appuie sur un script PowerShell nommé "Detect-VirtualGHOST.ps1" qui compare la liste des machines virtuelles enregistrées dans l'inventaire avec celles qui sont effectivement allumées. Ceci permet d'identifier les machines en cours d'exécution, mais non enregistrée sur l'hôte. Lorsqu'une VM suspecte est détectée, l'outil collecte des informations supplémentaires à son sujet, notamment la configuration réseau.

Ce script s'utilise depuis un poste de travail ou un serveur distant et nécessite la présence du module VMware PowerCLI, ce dernier permettant d'exécuter des commandes "esxcli" et donc de vérifier l'état des machines virtuelles.

Remarque : pour fonctionner, le script Detect-VirtualGHOST.ps1 attend deux informations. Le nom DNS du serveur à analyser ou son adresse IP, ainsi que des identifiants pour s'authentifier sur l'API de management VMware.

Voici un exemple de sortie mettant en évidence la présence d'une VM cachée :

Cet outil a été testé par CrowdStrike sur VMware vCenter 8.0.2, ainsi que plusieurs versions de VMware ESXi (6.5.0, 7.0.3, 8.0.0).

Pour plus de détails, vous pouvez consulter le dépôt GitHub de CrowdStrike :

• GitHub - VirtualGHOST

Compte tenu des nombreuses menaces capables de compromettre les hyperviseurs VMware ESXi, il peut s'avérer judicieux d'exécuter cet outil pour analyser son infrastructure.

Source

The post VirtualGHOST : détectez les machines virtuelles cachées par les attaquants sur VMware ESXi first appeared on IT-Connect.

VMware Workstation Pro et VMware Fusion Pro deviennent gratuits pour une utilisation personnelle ! Une excellente nouvelle pour celles et ceux qui veulent faire des labs sur leur machine personnelle ! Faisons le point sur cette annonce !

• Bien débuter avec VMware Workstation Pro

Il n'y a pas que des mauvaises nouvelles du côté de VMware. Même si celle-ci ne changera pas la vie des entreprises, elle est tout de même importante, car VMware Workstation Pro a toujours été un produit payant, tout comme VMware Fusion. Ces applications performantes et très populaires sont notamment très utilisées par les étudiants.

Mais cela, c'est du passé, car les applications VMware Workstation Pro et VMware Fusion Pro deviennent entièrement gratuites pour une utilisation personnelle. Si vous utilisez ces applications au travail, vous devez continuer à payer, et là, VMware parle d'un abonnement commercial payant.

Dans un nouvel article de blog, VMware, qui appartient désormais au géant Broadcom, précise : "Cela signifie que les utilisateurs quotidiens qui souhaitent disposer d'un laboratoire virtuel sur leur ordinateur Mac, Windows ou Linux peuvent le faire gratuitement en s'enregistrant et en téléchargeant les bits à partir du nouveau portail de téléchargement situé à l'adresse support.broadcom.com."

Au moment de l'installation, il suffira de faire le bon choix en fonction de votre situation. Si vous avez une clé de licence, vous n'aurez qu'à l'indiquer.

Nouveau système d'abonnement

Comme les autres produits VMware, ceux de la catégorie "Desktop Hypervisor" vont abandonner les licences perpétuelles pour passer sur un système d'abonnement.

"À compter du 6 mai 2024, nos produits DH seront disponibles exclusivement par le biais d'un modèle de licence basé sur l'abonnement. Cette transition nous permet de fournir des mises à jour, des améliorations et un soutien continus à nos utilisateurs.", peut-on lire sur une page du support. Le tarif n'est pas précisé.

Les versions "Player" vont être arrêtées par VMware

Ce changement n'est pas sans conséquence pour deux autres applications de VMware : VMware Workstation Player et VMware Fusion Player. Elles vont être arrêtées, mais la prise en charge sera assurée jusqu'à la fin de vie des versions actuelles.

Cette décision semble logique, car VMware Workstation Pro est beaucoup plus complet que la version "Player" et la gratuité offerte par VMware n'a pas vocation à brider l'application.

Qu'en pensez-vous ?

The post VMware Workstation Pro et VMware Fusion Pro deviennent gratuits pour une utilisation personnelle ! first appeared on IT-Connect.

With all the changes in VMware’s offerings, sysadmins and businesses are looking for alternatives to reduce expenditure or have more control over their infrastructure. Proxmox is a free enterprise-ready alternative to VMware ESXi with optional commercial hypervisor and backup support. Many organizations have refrained from migrating from VMware to Proxmox due to the high costs associated with migration. The new Proxmox import wizard simplifies the migration process.

Explore NAKIVO Backup & Replication v10.11's new features, including Proxmox backup support, enhanced IT monitoring, Oracle RMAN on Linux, and more for efficient data protection.

Following Broadcom's takeover of VMware, the new owner significantly streamlined the portfolio, primarily selling products through bundles to large companies. However, small and medium-sized enterprises (SMEs) often only require vSphere, of which there are now only a few editions available. The Essentials Plus Kit often turns out to be the most expensive due to the peculiarities of the subscription-based licensing per core.