Pour tester sans risques le nouveau système d’exploitation de Microsoft, la meilleure solution est d’installer Windows 11 dans une machine virtuelle. Une machine virtuelle est un environnement virtualisé qui fonctionne sur une machine physique et qui possède les mêmes caractéristiques qu’une machine physique (CPU, RAM, disque dur, carte réseau…). Vous pouvez y installer n’importe quel système d’...
VMware a publié un bulletin de sécurité pour informer ses clients de la présence d'une faille de sécurité critique au sein de toutes les installations de vCenter Server en version 6.7 et 7.0.
Pour rappel, le vCenter est un serveur de gestion pour faciliter l'administration et la configuration d'un ensemble de serveurs VMware et des machines virtuelles associées.
Au moment d'évoquer cette vulnérabilité, Bob Plankers, Technical Marketing Architect chez VMware, précise qu'elle peut être exploitée par quelqu'un qui est capable de contacter le serveur vCenter sur le réseau (port 443), peu importe la configuration, qui est en place sur le serveur vCenter. Pour se convaincre que cette faille est réellement critique, il suffit de regarder son score CVSS 3.1 : 9.8 / 10.
Cette faille de sécurité se situe au sein du service Analytics et elle permet à un pirate d'exécuter des commandes ou un programme sur l'hôte vCenter grâce au chargement d'un fichier malveillant. L'attaquant n'a pas besoin d'être authentifié sur le serveur pour exploiter la faille et il n'y a aucune interaction requise de la part des utilisateurs, contrairement à certains cas. Cela rend la vulnérabilité facilement exploitable.
Par conséquent, il est fortement recommandé d'installer le correctif dès que possible afin de se protéger contre cette vulnérabilité référencée avec le nom CVE-2021-22005. Un serveur VMware vCenter 7.0 doit être mis à jour vers la version 7.0 U2c pour être protégé, tandis que pour un serveur vCenter 6.7, il faut viser la version 6.7 U3o.
Il est à noter que certaines versions ne sont pas affectées par cette vulnérabilité, notamment la version vCenter Server 6.5.
Pour ceux qui ne sont pas en mesure d'appliquer le correctif dès maintenant, VMware a publié une procédure pour atténuer la vulnérabilité. Cela consiste à modifier un fichier de configuration et à redémarrer les services. Tout cela est expliqué sur cette page.
The post VMware : une faille critique affecte tous les serveurs vCenter 6.7 et 7.0 first appeared on IT-Connect.vSphere Tanzu is a product suite that brings container management to the VMware environment. In this post, we'll detail different Tanzu editions from VMware: Tanzu Basic, Tanzu Standard, and Tanzu Advanced.
The post VMware vSphere Tanzu: Basic vs. Standard vs. Advanced edition first appeared on 4sysops.VMware implemented containers with VMware Integrated Containers (VIC) back in early 2019. Shortly afterward, VMware Tanzu was released, which significantly improved container management. This post gives an overview of the container technology from a VMware admin's point of view.
The post Containers and VMware vSphere first appeared on 4sysops.With ESXi 7.0 Update 2, VMware has introduced a new way to boot the ESXi installer by using native UEFI HTTP. What is it? It is a way to boot the ESXi installer over the network but without setting up the whole PXE infrastructure (PXE server, TFTP, and DHCP).
The post How to install ESXi 7.0 U2 directly from an HTTP server via a UEFI HTTP boot first appeared on 4sysops.VMware vSphere 7 Update 2 has introduced a new feature called Precision Time for Windows. It's a completely new protocol that is worth looking at because it offers strict time accuracy and precision for time-sensitive virtualized applications.
The post Precision Time for Windows and VMware vSphere 7 Update 2 first appeared on 4sysops.Creating custom ESXi images is useful when you need to add custom drivers to your installation ESXi ISO. Previously, there were third-party tools that are no longer maintained. However, since vSphere 6.x, VMware has offered its own utility, which is built into vSphere, called ESXi Image Builder.
The post Using ESXi ISO image builder with VMware vSphere 7.0 Update 2 first appeared on 4sysops.
Bulletin d’actualité du 09/08/2021 Nous voici de nouveau ensemble dans notre rendez-vous de fin de semaine pour revenir sur les différents bulletins de sécurité publiés par le CERT-FR ! Durant la période du 2 août au 8 août 2021, le CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques en France) a …VMware HCI mesh for compute-only nodes was introduced with vSphere 7.0 Update 2 and allows you to connect to VMware vSAN datastores from another cluster. This cluster can be a host-only cluster without internal storage participating in a vSAN capacity.
The post VMware vSphere 7.0 Update 2 HCI Mesh configuration first appeared on 4sysops.Hey ! Bonjour à toutes et tous ! Nous voici ensemble de nouveau pour un nouvel article qui ne va pas parler du modèle MSP ou des alertes du CERT-FR, mais plutôt de l’appliance vCenter de chez VMware ! En cette belle journée ensoleillée (non, je vous rassure, il tombe des cordes en réalité au …VMware vSphere 7 Update 2 finally offers a long-awaited Native Key Provider (NKP), which is built in in vSphere. It's not a "full blown" KMS server, as the NKP can only talk to vSphere and you can't point other things at it. It is a vSphere-only feature.
The post How to set up a vSphere 7 Update 2 Native Key Provider first appeared on 4sysops.VMware vRealize Log Insight gathers logs from ESXi hosts and VMs in your virtual and physical environments. The product is extensible via content packs available in the VMware marketplace. In this post, we'll show you how you can not only use it as a main collector for your infrastructure, but also how to use the content pack for Microsoft Windows.
The post How to use vRealize Log Insight to retrieve logs from your Windows and Linux servers first appeared on 4sysops.If you're running just a vSphere, and ESXi, the logging will be concentrated only from those two products. VMware has, however, a large portfolio of products, each of which has its own logging. It is probably best to send logs from all VMware products to a remote logging server that can ingest the logs and present you with a graphical UI that also allows advanced search capabilities for specific issues.
The post Analyze basic log output from VMware vSphere 7 products first appeared on 4sysops.Une nouvelle variante du ransomware HelloKitty rejoint la liste des ransomwares qui s'attaquent aux serveurs VMware ESXi, qui sont désormais une cible de plus en plus privilégiée par les pirates.
Souvenez-vous, le mois dernier on apprenait l'existence d'un module de chiffrement spécifique au sein du ransomware REvil, dans le but de s'attaquer aux serveurs VMware ESXi et de chiffrer les datastores. Pour rappel, le datastore est l'emplacement de stockage où sont stockées les machines virtuelles.
Comme la dernière fois, c'est l'équipe de chercheurs MalwareHunterTeam qui a fait cette découverte, et cette fois-ci cela concerne une nouvelle variante du ransomware HelloKitty. Elle se présente sous la forme d'un exécutable ELF-64, à destination de Linux. Même si VMware utilise un noyau Linux personnalisé, il est possible de lancer ce type d'exécutable sur les hyperviseurs.
Pour interagir avec le serveur VMware ESXi, le ransomware s'appuie sur la ligne de commandes esxcli. Cela lui permet d'éteindre la machine virtuelle afin d'éviter que les fichiers soient verrouillés, et il procède ensuite au chiffrement de ces mêmes fichiers. Comme le montre l'exemple ci-dessous, le ransomware cherche à éteindre proprement la VM dans un premier temps, et si cela ne fonctionne pas il essaie deux autres méthodes plus brutales.
First try kill VM:%ld ID:%d %s esxcli vm process kill -t=soft -w=%d Check kill VM:%ld ID:%d esxcli vm process kill -t=hard -w=%d Unable to find Killed VM:%ld ID:%d still running VM:%ld ID:%d try force esxcli vm process kill -t=force -w=%d Check VM:%ld ID: %d manual !!! .README_TO_RESTORE Find ESXi:%s esxcli vm process list World ID: Process ID: Running VM:%ld ID:%d %s Total VM run on host: %ld
Les hackers apprécient particulièrement les hyperviseurs, en l'occurrence sous VMware ESXi. Pour deux raisons : ils sont très répandus et prendre le contrôle d'un ESXi permet de cibler X serveurs virtuels, ce qui est particulièrement impactant.
Dirk Schrader de chez New Net Technologies, explique qu'attaquer un équipement (VMware ESXi) qui héberge une trentaine de services critiques d'une organisation est particulièrement intéressant pour les pirates, afin d'obtenir un résultat. Quand il dit "résultat", il veut dire par là que l'entreprise va payer la rançon et donc que c'est rentable pour les hackers.
Pour se protéger contre ce type d'attaques, il convient de maintenir à jour son serveur VMware ESXi autant que possible pour bénéficier des derniers correctifs de sécurité.
The post Une variante du ransomware HelloKitty s’attaque aux serveurs VMware ESXi first appeared on IT-Connect.DRS Dump Insight is a portal where you can upload drmdump files for further analysis. VMware DRS Dump Insight 2.0 is an updated release that reflects changes within the VMware DRS mechanism, which I discussed in a previous article about VMware vSphere 7 DRS scoring and configuration.
The post Analyze drmdump files with VMware DRS Dump Insight first appeared on 4sysops.Bulletin d’actualité du 28/06/2021 Nous voici de nouveau ensemble dans notre rendez-vous de fin de semaine pour revenir sur les différents bulletins de sécurité publiés par le CERT-FR ! Durant la période du 21 juin au 27 juin 2021, le CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques en France) a …This guide provides information about BIOS optimization for VMware ESXi 7.x. When you buy new hardware, after verifying that ESXi 7.x is a supported hypervisor, you'll need to configure BIOS. The configuration process is, in part, about performance tweaks.
The post BIOS optimization settings for VMware ESXi 7.x first appeared on 4sysops.Aujourd'hui, nous allons voir comment créer des modèles de VM sous VMware afin de créer des VMs de "référence" pour vos déploiements. Celles-ci vous permettent de pouvoir créer des machines virtuelles à la volée, sans passer par l'étape fastidieuse de création de VM classique.
Un modèle de machine virtuelle est une image d'une VM personnalisable afin de répondre à certaines exigences métier. Un template peut être utilisé plusieurs fois à des fins de déploiement en masse d'instances de VMs. Après avoir déployé une VM à partir d'un modèle, elle n'est plus liée à son modèle, et est donc indépendante.
Note : certaines informations non essentielles de ce tutoriel ont été masquées.
Un clone de VM "standard" est une copie exacte d'une VM à un instant T qui n'est pas personnalisable (au niveau de l'OS, et certaines ressources physiques). Si vous devez cloner périodiquement une machine virtuelle en cours d'exécution, les clones résultant de celle-ci seraient différents les uns des autres. Un modèle de machine virtuelle vous aide à éviter ces problèmes, car il ne peut pas être modifié* et ne peut jamais être en cours d'exécution. On évite alors les erreurs de manipulations...
VMware fournit des outils qui simplifient la personnalisation du système d'exploitation invité pour les clones de VM. Un point que nous aborderons dans le troisième chapitre de ce tutoriel.
*Vous ne pouvez pas la mettre sous tension et modifier une machine modèle dès lors qu'elle a été créée, afin que personne ne puisse accidentellement démarrer/modifier la machine virtuelle utilisée comme modèle. Si vous souhaitez modifier un modèle, vous devez convertir un modèle en machine virtuelle, modifier la machine virtuelle, puis convertir la machine virtuelle modifiée en un nouveau modèle. Cette approche offre une plus grande sécurité (et une méthode plus « infaillible ») que les clonages classiques de VM.
Les modèles OVA et OVF sont utilisés pour distribuer des logiciels préconfigurés en tant qu'appliances virtuelles. Ils peuvent contenir plusieurs machines virtuelles, ce qui est utile dans les cas où une application se compose de plusieurs instances de VM qui doivent fonctionner indépendamment.
Pour rappel :
Les modèles de VM ne sont pas compressés. Ils sont accessibles uniquement à partir d'emplacements disponibles pour vCenter (datastore, etc.) et ne sont pas destinés à être partagés avec d'autres organisations.
Plantons le décor, voici ce que nous allons utiliser :
Option : personnaliser votre machine virtuelle en installant un ensemble de logiciels pour vos besoins, les besoins d'une entité particulière, etc. Je vous recommande d'utiliser le logiciel Ninite afin de faire une seule installation groupée des logiciels les plus connus et les plus utiles, que vous pourriez avoir besoin. Par exemple : WinRar, Firefox, Chrome, Visual Studio Code, etc.
Depuis une machine virtuelle, fraichement installée, cliquez sur : action, clone, clonez vers un modèle.
Choisissez un nom pour cette future VM de référence. Il doit être différent du nom de la machine originale (ici : Win-10-Pro-21H1-Desktop). Le nom pour cette machine de référence sera dans mon cas Windows-10-Pro-21H1-Desktop-Master.
Il vous est demandé par la suite de choisir la ressource de calcul pour héberger votre futur VM template. Choisissez par défaut votre cluster d'hôtes ESXi, ou un hôte ESXi en particulier.
Puis, sélectionnez le datastore où vous souhaitez stocker le modèle de machine virtuelle.
Ensuite, un récapitulatif des actions effectuées s'affiche à l'écran. Dès que vous cliquez sur "Finish", le template va se créer. Patientez pendant la création.
La personnalisation du système d'exploitation invité est une fonctionnalité de vSphere qui permet aux utilisateurs de modifier les paramètres du système d'exploitation invité Linux ou Windows d'une Template de VM. Pour rappel l'approche traditionnelle était de :
Cette méthode est lourde et fastidieuse. Avec la personnalisation du système d'exploitation invité de VMware, vous pouvez créer un fichier de personnalisation et utiliser celui-ci pour personnaliser chaque instance de VM générée à partir du modèle. Vous pouvez facilement modifier les paramètres du réseau, le nom d'hôte, le nom d'utilisateur, le mot de passe, le fuseau horaire, les paramètres de licence, le SID (identifiant de sécurité) et le domaine/workgroup.
Remarque : les paramètres de personnalisation pour Linux et Windows sont différents. La procédure aussi. Les problèmes de compatibilité sont malheureusement nombreux en fonction des distributions. Cette fonctionnalité sera plus utile et exploitable pour un environnement virtuel Windows. Je ne vais donc pas la développer ici. Pour plus d'informations, reportez-vous à la documentation officielle de VMware.
Pour créer votre "procédure d'instanciation de template", rendez-vous dans > Menu > Stratégies et profils
Puis, créez une nouvelle "spécification de personnalisation d'une VM" (sacré charabia ^^). Renseignez les informations suivantes :
Définissez par la suite le nom du propriétaire. Par défaut, ici je vais mettre User. Le nom du compte que j'ai crée lors de l'installation de Windows 10.
Puis, nous pouvons personnaliser le hostname (nom NETBIOS) de l'hôte Windows qui sera généré. Dans mon cas, je vais préfixer le nom d'hôte de chaque machine avec "PC-itco-" suivi d'un numéro d'identification random fourni par VMware, mais vous pouvez choisir de préfixer le nom de la machine, lors du déploiement de la VM, ou via une extension X via VCSA.
VMWare vous laisse le choix d'activer ou non Windows 10 depuis son formulaire en précisant une clé d'activation.
Vous devez ensuite définir le mot de passe du compte administrateur du template.
Puis, sélectionnez ensuite le bon fuseau horaire en fonction de votre géolocalisation.
Si vous souhaitez injecter un script PowerShell/batch, cette section est faite pour vous :). Dans mon cas, je ne vais pas l'utiliser.
Choisissez ensuite vos paramètres réseau. Dans mon cas, je vais utiliser l'option par défaut DHCP (IP+DNS), mais la deuxième option vous permet d'entrer manuellement les paramètres IP/DNS lors du déploiement d'une nouvelle VM.
La 9e étape nous octroie la possibilité de joindre directement la nouvelle machine déployée à un domaine Active Directory. Dans le cadre du tutoriel, nous allons nous en passer. ^^
Enfin, un récapitulatif vous est présenté. Il suffit de cliquer sur "Finish".
Le profil sera stocké, dans le menu : Menu > Stratégies et profils. À tout moment vous pouvez l'éditer, sans en créer un nouveau.
Afin de tester notre template, créez une machine virtuelle, cochez l'option "Déployer depuis un modèle", puis cliquez sur "Next".
Je vais donc choisir de déployer une VM Windows 10, à l'aide du template que je viens de réaliser.
Je lui assigne le nom suivant : Win10-21H1-Test. Remarque : le nom de la machine virtuelle, ce n'est pas son hostname au sein de l'OS.
Par la suite, je choisis d'utiliser mon cluster d'ESXi, pour gérer la partie gestion des ressources de calcul.
Je sélectionne un emplacement pour le stockage de cette future VM.
Arrive une étape importante, où nous pouvons choisir de cocher les options suivantes :
Évidemment, je vais sélectionner mon profil personnalisé.
Ensuite, si vous le souhaitez, vous pouvez ajuster les ressources physiques. Ce qui est l'occasion d'agrandir la taille du disque dur virtuel, par exemple.
Enfin, VCSA nous présente un récapitulatif des informations que nous lui avons fournies. Après quoi il déploiera la machine virtuelle.
Le déploiement de celle-ci prend environ une bonne minute. Et voilà, notre machine Win10-21H1-Test, est déployée et opérationnelle !
Nous pouvons constater que le nom d'hôte de la machine déployée a bien été modifié automatiquement lors du déploiement de celle-ci, ce qui confirme que la customisation de l'OS a bien été réalisée par VCSA.
J'espère que l'article vous aura plu ! Avant de vous laisser, voici deux rappels pour conclure :
- Un modèle de machine virtuelle est une image spécifique d'une VM qui peut être utilisée pour créer des instances de VM lors de déploiements en masse. Les templates ne peuvent pas être modifiés et activés comme les machines virtuelles ordinaires, ce qui améliore la sécurité.
- La spécification de personnalisation de l'OS du template vous aide à personnaliser les paramètres du système d'exploitation tels que la configuration réseau, le nom de l'ordinateur, le fuseau horaire, injecter un script Batch/Powershell, etc. Cela rend vos déploiements de VM plus rapide et plus pratique. Vous bénéficiez d'avantages importants tel que l'automatisation, la réduction du nombre d'erreurs, et la standardisation de vos machines.
The post Créer des templates de VM avec VMware vCenter Server Appliance first appeared on IT-Connect.Le ransomware REvil bénéficie désormais d'un module de chiffrement Linux qui cible et chiffre les machines virtuelles VMware ESXi. Après les NAS, ce ransomware d'attaque aux machines virtuelles.
En mai dernier, le chercheur Yelisey Boguslavskiy de chez Intel, avait découvert un message sur un forum où il était précisé qu'un module de chiffrement basé sur Linux était disponible pour le ransomware REvil et qu'il permettait de s'attaquer à des NAS.
Désormais, ce variant de REvil pour Linux va plus loin puisqu'il s'attaque aux hyperviseurs VMware ESXi et plus particulièrement aux machines virtuelles. L'équipe de chercheurs MalwareHunterTeam a fait cette découverte.
Vitali Kremez de chez Intel a analysé cette version Linux de REvil, qui se présente sous la forme d'un exécutable au format ELF64 (Executable and Linkable Format). Au moment de l'exécuter sur un serveur, l'attaquant peut spécifier différents paramètres, notamment le chemin vers les données à chiffrer : la banque de données de l'hyperviseur où sont stockées les VMs.
Usage example: elf.exe --path /vmfs/ --threads 5 without --path encrypts current dir --silent (-s) use for not stoping VMs mode !!!BY DEFAULT THIS SOFTWARE USES 50 THREADS!!!
Vitali Kremez explique également que REvil s'appuie sur le CLI de VMware ESXi (esxcli) pour lister les machines virtuelles présentes sur l'hyperviseur. Les machines virtuelles seront stoppées pour que le ransomware passe à l'action et qu'il chiffre les disques durs virtuels au format VMDK. Si la machine virtuelle n'est pas arrêtée correctement, en plus d'être chiffrée, elle pourrait être corrompue.
En s'attaquant directement aux hôtes VMware ESXi, le ransomware REvil peut chiffrer un nombre important de serveurs avec une seule commande, ce qui est particulièrement dangereux.
Fabian Wosar, le CTO de Emsisoft a précisé que d'autres ransomwares avec un module de chiffrement compatible Linux, dont : Babuk, RansomExx/Defray, Mespinoza, GoGoogle, DarkSide, ou encore Hellokitty. Ces variants pour Linux sont créés principalement dans le but de s'attaquer aux hôtes VMware ESXi.
Si vous souhaitez obtenir les hashs des fichiers associés à la version Linux de REvil, rendez-vous sur cette page : REvil - Linux - Hash
FreshRSS 