VMware insta a los Administradores a eliminar este Complemento de Autenticación

VMware instó hoy a los administradores a eliminar un complemento de autenticación descontinuado expuesto a ataques de retransmisión de autenticación y secuestro de sesión en entornos de dominio de Windows a través de dos vulnerabilidades de seguridad que no se han parcheado.

El vulnerable complemento de autenticación mejorada (EAP) de VMware permite un inicio de sesión fluido en las interfaces de administración de vSphere a través de la autenticación de Windows integrada y la funcionalidad de tarjeta inteligente basada en Windows en los sistemas cliente de Windows.

VMware anunció la obsolescencia de EAP hace casi tres años, en marzo de 2021, con el lanzamiento de vCenter Server 7.0 Update 2.

Registrados como CVE-2024-22245 (puntuación base CVSSv3 de 9,6/10) y CVE-2024-22250 (7,8/10), los dos fallos de seguridad parcheados hoy pueden ser utilizados por atacantes maliciosos para transmitir tickets de servicio Kerberos y hacerse cargo de sesiones EAP privilegiadas.

“Un actor malintencionado podría engañar a un usuario de dominio objetivo con EAP instalado en su navegador web para que solicite y transmita tickets de servicio para nombres principales de servicio (SPN) arbitrarios de Active Directory”, explica VMware al describir los vectores de ataque conocidos CVE-2024-22245.

“Un actor malicioso con acceso local sin privilegios a un sistema operativo Windows puede secuestrar una sesión EAP privilegiada cuando la inicia un usuario de dominio privilegiado en el mismo sistema”, añadió la compañía sobre CVE-2024-22250.

La compañía agregó que actualmente no tiene evidencia de que las vulnerabilidades de seguridad hayan sido atacadas o explotadas en la naturaleza.

Cómo Proteger los Sistemas Vulnerables

Para solucionar los fallos de seguridad CVE-2024-22245 y CVE-2024-22250, los administradores deben eliminar tanto el complemento/cliente del navegador (VMware Enhanced Authentication Plug-in 6.7.0) como el servicio de Windows. (Servicio de complemento de VMware).

Para desinstalarlos o deshabilitar el servicio de Windows si no es posible eliminarlos, puede ejecutar los siguientes comandos de PowerShell (como se recomienda aquí):

Uninstall
—————————
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Enhanced Authentication Plug-in")}).Uninstall()
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Plug-in Service")}).Uninstall()
Stop/Disable service
————————————————————
Stop-Service -Name "CipMsgProxyService"
Set-Service -Name "CipMsgProxyService" -StartupType "Disabled"

Afortunadamente, el VMware EAP obsoleto no se instala de forma predeterminada y no forma parte de los productos vCenter Server, ESXi o Cloud Foundation de VMware.

Los administradores deben instalarlo manualmente en las estaciones de trabajo Windows utilizadas para tareas administrativas para permitir el inicio de sesión directo cuando usan VMware vSphere Client a través de un navegador web.

Como alternativa a este complemento de autenticación vulnerable, VMware recomienda a los administradores utilizar otros métodos de autenticación de VMware vSphere 8, como Active Directory sobre LDAPS, Microsoft Active Directory Federation Services (ADFS), Okta y Microsoft Entra ID (anteriormente Azure AD).

El mes pasado, VMware también confirmó que una vulnerabilidad crítica de ejecución remota de código de vCenter Server (CVE-2023-34048) parcheada en octubre estaba bajo explotación activa.

Mandiant reveló que el grupo chino de ciberespionaje UNC3886 abusó de él como día cero durante más de dos años, al menos desde finales de 2021.

Relacionado

5 Pasos para Mejorar la Seguridad en Microsoft Teams

En un mundo donde la comunicación digital es fundamental para la productividad empresarial, las aplicaciones de chat SaaS como Microsoft Teams, se han convertido en una herramienta indispensable. Sin embargo, con esta dependencia creciente también vienen riesgos significativos de seguridad cibernética que a menudo son subestimados. En un reciente ataque que tuvo lugar en Microsoft Teams, los atacantes aprovecharon la plataforma para enviar más de 1.000 ¡SEGUIR LEYENDO!

Abusan de la Nerramienta “Comando no Encontrado” en Ubuntu para Propagar Malware

Una falla lógica entre el sistema de sugerencia de paquetes de 'comando no encontrado' de Ubuntu y el repositorio de paquetes instantáneos podría permitir a los atacantes promocionar paquetes de Linux maliciosos entre usuarios desprevenidos. El problema surge de la capacidad de la utilidad para sugerir paquetes instantáneos para la instalación cuando faltan sin un mecanismo de validación para garantizar que los paquetes sean auténticos y ¡SEGUIR LEYENDO!

Malware de Android roba datos financieros de 378 aplicaciones de bancos y billeteras digitales

Los creadores del malware móvil BlackRock han aparecido con un nuevo troyano bancario de Android denominado ERMAC con sus raíces en el malicioso malware Cerberus. "El nuevo troyano tiene campañas de distribución activas y apunta a 378 aplicaciones bancarias y de billeteras", según el CEO de ThreatFabric. Se cree que las primeras campañas que involucran a ERMAC comenzaron a finales de Agosto. Desde entonces, los ataques ¡SEGUIR LEYENDO!

ClamAV: El antivirus de código abierto para detectar troyanos, virus, malware, etc

ClamAV es un motor antivirus de código abierto para detectar troyanos, virus, malware y otras amenazas maliciosas. ClamAV es un código abierto (GPL) motor anti-virus utilizado en una variedad de situaciones, incluyendo análisis de correo electrónico, la exploración web, y la seguridad de punto final. ClamAV proporciona una serie de utilidades que incluyen un demonio multiproceso flexible y escalable, un escáner de línea de comandos y ¡SEGUIR LEYENDO!

Anuncios de Facebook Impulsa el Nuevo Malware de Robo de Contraseñas Ov3r_Stealer

Un nuevo malware para robar contraseñas llamado Ov3r_Stealer se está propagando a través de anuncios de trabajo falsos en Facebook, con el objetivo de robar credenciales de cuentas y criptomonedas. Los anuncios de trabajo falsos son para puestos gerenciales y llevan a los usuarios a una URL de Discord donde un script de PowerShell descarga la carga útil del malware desde un repositorio de GitHub. Los ¡SEGUIR LEYENDO!

Aplicaciones de Android Plagadas de Malware detectadas en Google Play

Un troyano de acceso remoto (RAT) de Android llamado VajraSpy fue encontrado en 12 aplicaciones maliciosas, seis de las cuales estuvieron disponibles en Google Play desde el 1 de abril de 2021 hasta el 10 de septiembre de 2023. Descubrimiento del malware El investigador de ESET, Lukas Stefanko, identificó 12 aplicaciones maliciosas para Android que contenían el mismo código RAT VajraSpy. Sorprendentemente, seis de estas aplicaciones ¡SEGUIR LEYENDO!

Aplicaciones de Android e iOS con 15 millones de instalaciones han extorsionado a infinidad de solicitantes de préstamos

Más de 280 aplicaciones de Android e iOS en Google Play y las tiendas de aplicaciones de Apple atraparon a los usuarios en esquemas de préstamos con términos engañosos y emplearon varios métodos para extorsionar. https://ciberninjas.com/malware-extension-chrome-venomsoftx/ Para alimentar los intentos de extorsión de la operación, las aplicaciones robaban cantidades excesivas de datos de teléfonos móviles que normalmente no se requieren para ofrecer préstamos. En un nuevo ¡SEGUIR LEYENDO!

Ataque Cibernético al Hospital Infantil Lurie: Conoce el Impacto de las Operaciones

El Hospital Infantil Lurie, una destacada instalación de atención pediátrica con sede en Chicago, enfrentó un grave revés al convertirse en víctima de un ciberataque. Este incidente imprevisto obligó al hospital a desconectar sus sistemas de TI, perturbando las operaciones habituales y causando retrasos en la atención médica para algunos pacientes. El Incidente de Ciberseguridad El hospital, conocido por su papel significativo en la atención pediátrica, ¡SEGUIR LEYENDO!

Ataque KeyTrap tiene Acceso a Internet Interrumpido con un Paquete DNS

Una vulnerabilidad grave denominada KeyTrap en la función Extensiones de seguridad del sistema de nombres de dominio (DNSSEC) podría explotarse para denegar el acceso a Internet a las aplicaciones durante un período prolongado. Registrado como CVE-2023-50387, KeyTrap es un problema de diseño en DNSSEC y afecta a todas las implementaciones o servicios populares del sistema de nombres de dominio (DNS). Permite a un atacante remoto provocar ¡SEGUIR LEYENDO!

Ataque de ransomware corta la Comunicación con tierra de 1.000 barcos

Una empresa noruega de gestión de riesgos marítimos está aprendiendo una lección en esa misma área, después de que un ataque de ransomware forzase la desconexión de su software ShipManager. El problema de desconexión dejó a más de 1000 barcos sin conexión con los servidores en tierra. El ataque ocurrió el 7 de Enero e involucró a un ataque ransomware, pero los barcos afectados no corren ¡SEGUIR LEYENDO!

Ataques de Malware Bumblebee regresan tras una Pausa de 4 Meses

El malware Bumblebee regresó después de unas vacaciones de cuatro meses y se dirigió a miles de organizaciones en los Estados Unidos en campañas de phishing. Bumblebee es un cargador de malware descubierto en abril de 2022 y se cree que fue desarrollado por el sindicato de delitos cibernéticos Conti y Trickbot como reemplazo de la puerta trasera BazarLoader. El malware se distribuye comúnmente en campañas ¡SEGUIR LEYENDO!