A VMware pediu aos administradores que removam um plugin de autenticação vulnerável. O plugin descontinuado, foi exposto a retransmissão de autenticação e ataques de sequestro de sessão em ambientes de domínio Windows por meio de duas vulnerabilidades de segurança que não foram corrigidas.
Plugin de autenticação VMWare obsoleto e vulnerável
O VMware Enhanced Authentication Plug-in (EAP) vulnerável permite login contínuo nas interfaces de gerenciamento do vSphere por meio da autenticação integrada do Windows e da funcionalidade de cartão inteligente baseada em Windows em sistemas clientes Windows. A Empresa anunciou a descontinuação do EAP há quase três anos, em março de 2021, com o lançamento do vCenter Server 7.0 Update 2.
Rastreadas como CVE-2024-22245 (9,6/10 pontuação base CVSSv3) e CVE-2024-22250 (7,8/10), as duas falhas de segurança corrigidas hoje podem ser usadas por invasores mal-intencionados para retransmitir tickets de serviço Kerberos e assumir sessões EAP privilegiadas.
Notícias Relacionadas
Virtual
VirtualBox 7.1 Beta atualiza GUI modernizada e implanta suporte Wayland para compartilhamento da área de transferência
O novo VirtualBox 7.1 Beta atualiza GUI modernizada e implanta suporte Wayland para compartilhamento da área de transferência. A Oracle lançou a primeira versão beta pública de seu software de virtualização VirtualBox 7.1. O próximo lançamento do VirtualBox também contará com a GUI renovada baseada no Qt 6, novo mecanismo NAT com suporte a IPv6 […]
ASUS ROG Ally X já recebe patches do Linux
O dispositivo de jogos ASUS ROG Ally X já recebe patches do Linux. Neste fim de semana, o ASUS ROG Ally X começou a ser enviado como uma versão atualizada do console de jogos portátil ASUS ROG Ally, lançado no ano passado. O ASUS ROG Ally X ainda é alimentado pelo AMD Ryzen Z1 Extreme SoC e, em […]
Um ator mal-intencionado pode enganar um usuário de domínio alvo com EAP instalado em seu navegador para solicitar e retransmitir tickets de serviço para nomes de entidade de serviço (SPNs) arbitrários do Active Directory.
Um ator mal-intencionado com acesso local sem privilégios a um sistema operacional Windows pode sequestrar uma sessão EAP privilegiada quando iniciada por um usuário de domínio privilegiado no mesmo sistema”, acrescentou a empresa sobre CVE-2024-22250.
VMware
A empresa acrescentou que atualmente não tem evidências de que as vulnerabilidades de segurança tenham sido direcionadas ou exploradas em estado selvagem.
Como proteger sistemas vulneráveis
Para resolver as falhas de segurança CVE-2024-22245 e CVE-2024-22250, os administradores precisam remover o plug-in/cliente do navegador (VMware Enhanced Authentication Plug-in 6.7.0) e o serviço do Windows (Serviço de plug-in VMware). Para desinstalá-los ou desabilitar o serviço do Windows se a remoção não for possível, você pode executar os seguintes comandos do PowerShell:
Uninstall
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Enhanced Authentication Plug-in")}).Uninstall()
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Plug-in Service")}).Uninstall()Stop/Disable service
Stop-Service -Name "CipMsgProxyService"
Set-Service -Name "CipMsgProxyService" -StartupType "Disabled"Felizmente, o obsoleto VMware EAP não é instalado por padrão e não faz parte dos produtos vCenter Server, ESXi ou Cloud Foundation da VMware. Os administradores precisam instalá-lo manualmente nas estações de trabalho Windows usadas para tarefas de administração para permitir o login direto ao usar o VMware vSphere Client por meio de um navegador da web.
Como alternativa a esse plugin de autenticação vulnerável, a VMware aconselha os administradores a usar outros métodos de autenticação do VMware vSphere 8, como Active Directory sobre LDAPS, Microsoft Active Directory Federation Services (ADFS), Okta e Microsoft Entra ID (anteriormente Azure AD).
