VMware alerta para remoção de plugin de autenticação obsoleto e vulnerável

VMware Workstation Pro grátis para uso no Linux e Windows

A VMware pediu aos administradores que removam um plugin de autenticação vulnerável. O plugin descontinuado, foi exposto a retransmissão de autenticação e ataques de sequestro de sessão em ambientes de domínio Windows por meio de duas vulnerabilidades de segurança que não foram corrigidas.

Plugin de autenticação VMWare obsoleto e vulnerável

O VMware Enhanced Authentication Plug-in (EAP) vulnerável permite login contínuo nas interfaces de gerenciamento do vSphere por meio da autenticação integrada do Windows e da funcionalidade de cartão inteligente baseada em Windows em sistemas clientes Windows. A Empresa anunciou a descontinuação do EAP há quase três anos, em março de 2021, com o lançamento do vCenter Server 7.0 Update 2.

Rastreadas como CVE-2024-22245 (9,6/10 pontuação base CVSSv3) e CVE-2024-22250 (7,8/10), as duas falhas de segurança corrigidas hoje podem ser usadas por invasores mal-intencionados para retransmitir tickets de serviço Kerberos e assumir sessões EAP privilegiadas.

Um ator mal-intencionado pode enganar um usuário de domínio alvo com EAP instalado em seu navegador para solicitar e retransmitir tickets de serviço para nomes de entidade de serviço (SPNs) arbitrários do Active Directory.

Um ator mal-intencionado com acesso local sem privilégios a um sistema operacional Windows pode sequestrar uma sessão EAP privilegiada quando iniciada por um usuário de domínio privilegiado no mesmo sistema”, acrescentou a empresa sobre CVE-2024-22250.

VMware

A empresa acrescentou que atualmente não tem evidências de que as vulnerabilidades de segurança tenham sido direcionadas ou exploradas em estado selvagem.

vmware-alerta-para-remocao-de-plugin-de-autenticacao-obsoleto-e-vulneravel

Como proteger sistemas vulneráveis

Para resolver as falhas de segurança CVE-2024-22245 e CVE-2024-22250, os administradores precisam remover o plug-in/cliente do navegador (VMware Enhanced Authentication Plug-in 6.7.0) e o serviço do Windows (Serviço de plug-in VMware). Para desinstalá-los ou desabilitar o serviço do Windows se a remoção não for possível, você pode executar os seguintes comandos do PowerShell:

Uninstall

(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Enhanced Authentication Plug-in")}).Uninstall()
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Plug-in Service")}).Uninstall()

Stop/Disable service

Stop-Service -Name "CipMsgProxyService"
Set-Service -Name "CipMsgProxyService" -StartupType "Disabled"

Felizmente, o obsoleto VMware EAP não é instalado por padrão e não faz parte dos produtos vCenter Server, ESXi ou Cloud Foundation da VMware. Os administradores precisam instalá-lo manualmente nas estações de trabalho Windows usadas para tarefas de administração para permitir o login direto ao usar o VMware vSphere Client por meio de um navegador da web.

Como alternativa a esse plugin de autenticação vulnerável, a VMware aconselha os administradores a usar outros métodos de autenticação do VMware vSphere 8, como Active Directory sobre LDAPS, Microsoft Active Directory Federation Services (ADFS), Okta e Microsoft Entra ID (anteriormente Azure AD).