Après la campagne contre les serveurs ESXi, comment récupérer ses VM ? La principale solution que suggère l’ANSSI émane de deux développeurs. Elle s’appuie sur le fait que les disques virtuels ont largement été laissés indemnes, l’attaque touchant surtout les fichiers de configuration associés.
Pour automatiser sa mise en œuvre, la CISA (homologue américaine de l’ANSSI) fournit un script. Consigne : l’exécuter dans les dossiers des VM à récupérer. Puis, si cela fonctionne, à réinscrire ces dernières sur ESXi.
Le script ne cherche pas tant à supprimer les fichiers de configuration chiffrés qu’à en créer de nouveaux qui permettront de restaurer l’accès.
L’ANSSI signale une deuxième méthode qui exploite le même levier. Dans les grandes lignes, elle implique de :
– Créer une nouvelle VM sur l’hôte ESXi affecté
– Se connecter à l’hôte
– Aller dans le datastore et faire une copie de la VM à récupérer
– Dans le dossier où se trouve cette copie, localiser le fichier de disque virtuel (-flat.vmdk)
– Créer un nouveau fichier de configuration (.vmdk) et supprimer le flat associé
– Renommer le vmdk en fonction du fichier disque de la VM à récupérer
– Dans ce même vmdk, supprimer une ligne et en modifier une autre
– Connecter le vmdk à la VM créée au début, puis y reconstruire la table de partitions
Photo d’illustration © faraktinov – Adobe Stock
Le voile est levé sur Oracle Code Assist. Présenté comme spécialisé en Java et SQL,…
EPEI, la société d'investissement de Daniel Kretinsky, a déposé une offre de reprise d'Atos. En…
Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…