A VMware pediu aos administradores que removam um plugin de autenticação vulnerável. O plugin descontinuado, foi exposto a retransmissão de autenticação e ataques de sequestro de sessão em ambientes de domínio Windows por meio de duas vulnerabilidades de segurança que não foram corrigidas.
Plugin de autenticação VMWare obsoleto e vulnerável
O VMware Enhanced Authentication Plug-in (EAP) vulnerável permite login contínuo nas interfaces de gerenciamento do vSphere por meio da autenticação integrada do Windows e da funcionalidade de cartão inteligente baseada em Windows em sistemas clientes Windows. A Empresa anunciou a descontinuação do EAP há quase três anos, em março de 2021, com o lançamento do vCenter Server 7.0 Update 2.
Rastreadas como CVE-2024-22245 (9,6/10 pontuação base CVSSv3) e CVE-2024-22250 (7,8/10), as duas falhas de segurança corrigidas hoje podem ser usadas por invasores mal-intencionados para retransmitir tickets de serviço Kerberos e assumir sessões EAP privilegiadas.
Um ator mal-intencionado pode enganar um usuário de domínio alvo com EAP instalado em seu navegador para solicitar e retransmitir tickets de serviço para nomes de entidade de serviço (SPNs) arbitrários do Active Directory.
Um ator mal-intencionado com acesso local sem privilégios a um sistema operacional Windows pode sequestrar uma sessão EAP privilegiada quando iniciada por um usuário de domínio privilegiado no mesmo sistema”, acrescentou a empresa sobre CVE-2024-22250.
A empresa acrescentou que atualmente não tem evidências de que as vulnerabilidades de segurança tenham sido direcionadas ou exploradas em estado selvagem.
Como proteger sistemas vulneráveis
Para resolver as falhas de segurança CVE-2024-22245 e CVE-2024-22250, os administradores precisam remover o plug-in/cliente do navegador (VMware Enhanced Authentication Plug-in 6.7.0) e o serviço do Windows (Serviço de plug-in VMware). Para desinstalá-los ou desabilitar o serviço do Windows se a remoção não for possível, você pode executar os seguintes comandos do PowerShell:
Uninstall
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Enhanced Authentication Plug-in")}).Uninstall()
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Plug-in Service")}).Uninstall()
Stop/Disable service
Stop-Service -Name "CipMsgProxyService"
Set-Service -Name "CipMsgProxyService" -StartupType "Disabled"
Felizmente, o obsoleto VMware EAP não é instalado por padrão e não faz parte dos produtos vCenter Server, ESXi ou Cloud Foundation da VMware. Os administradores precisam instalá-lo manualmente nas estações de trabalho Windows usadas para tarefas de administração para permitir o login direto ao usar o VMware vSphere Client por meio de um navegador da web.
Como alternativa a esse plugin de autenticação vulnerável, a VMware aconselha os administradores a usar outros métodos de autenticação do VMware vSphere 8, como Active Directory sobre LDAPS, Microsoft Active Directory Federation Services (ADFS), Okta e Microsoft Entra ID (anteriormente Azure AD).