A VMware lançou um alerta para administradores removerem um plugin de autenticação descontinuado exposto a ataques de relé de autenticação e sequestro de sessão em ambientes de domínio Windows, através de duas vulnerabilidades de segurança não corrigidas.
O VMware Enhanced Authentication Plug-in (EAP) permite login sem interrupções nas interfaces de gerenciamento do vSphere via Autenticação Windows integrada e funcionalidade de cartão inteligente baseada no Windows em sistemas cliente Windows.
A VMware anunciou a desativação do EAP há quase três anos, em março de 2021, com o lançamento da atualização 2 do vCenter Server 7.0.
Rastreadas como CVE-2024-22245 (pontuação base de 9,6/10 CVSSv3) e CVE-2024-22250 (7,8/10), as duas falhas de segurança corrigidas hoje podem ser usadas por atacantes maliciosos para relatar tickets de serviço Kerberos e assumir sessões EAP privilegiadas.
“Um ator malicioso poderia enganar um usuário de domínio-alvo com EAP instalado em seu navegador da web para solicitar e relatar tickets de serviço para Nomes Principais de Serviço (SPNs) do Active Directory arbitrários”, explica a VMware ao descrever vetores de ataque conhecidos do CVE-2024-22245.
“Um ator malicioso com acesso local não privilegiado a um sistema operacional Windows pode sequestrar uma sessão EAP privilegiada quando iniciada por um usuário de domínio privilegiado no mesmo sistema”, a empresa adicionou sobre o CVE-2024-22250.
A empresa acrescentou que atualmente não há evidências de que as vulnerabilidades de segurança tenham sido visadas ou exploradas em ambiente de produção.
Como Proteger Sistemas Vulneráveis
Para lidar com as falhas de segurança CVE-2024-22245 e CVE-2024-22250, os administradores devem remover tanto o plugin/cliente do navegador (VMware Enhanced Authentication Plug-in 6.7.0) quanto o serviço do Windows (VMware Plug-in Service).
Para desinstalá-los ou desativar o serviço do Windows se a remoção não for possível, você pode executar os seguintes comandos do PowerShell (conforme recomendado aqui):
Uninstall
—————————
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Enhanced Authentication Plug-in")}).Uninstall()
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Plug-in Service")}).Uninstall()
Stop/Disable service
————————————————————
Stop-Service -Name "CipMsgProxyService"
Set-Service -Name "CipMsgProxyService" -StartupType "Disabled"Felizmente, o EAP descontinuado da VMware não é instalado por padrão e não faz parte dos produtos vCenter Server, ESXi ou Cloud Foundation da VMware.
Os administradores precisam instalá-lo manualmente em estações de trabalho Windows usadas para tarefas administrativas para permitir login direto ao usar o Cliente vSphere da VMware através de um navegador da web.
Como alternativa a este plug-in de autenticação vulnerável, a VMware recomenda que os administradores usem outros métodos de autenticação do VMware vSphere 8, como Active Directory sobre LDAPS, Microsoft Active Directory Federation Services (ADFS), Okta e Microsoft Entra ID (anteriormente Azure AD).
No mês passado, a VMware também confirmou que uma vulnerabilidade crítica de execução de código remoto do vCenter Server (CVE-2023-34048) corrigida em outubro estava sendo ativamente explorada.
A Mandiant revelou que o grupo de espionagem cibernética chinês UNC3886 abusou dela como um zero-day por mais de dois anos, desde pelo menos o final de 2021.
