VMware instó hoy a los administradores a eliminar un complemento de autenticación descontinuado expuesto a ataques de retransmisión de autenticación y secuestro de sesión en entornos de dominio de Windows a través de dos vulnerabilidades de seguridad que no se han parcheado.
El vulnerable complemento de autenticación mejorada (EAP) de VMware permite un inicio de sesión fluido en las interfaces de administración de vSphere a través de la autenticación de Windows integrada y la funcionalidad de tarjeta inteligente basada en Windows en los sistemas cliente de Windows.
VMware anunció la obsolescencia de EAP hace casi tres años, en marzo de 2021, con el lanzamiento de vCenter Server 7.0 Update 2.
Registrados como CVE-2024-22245 (puntuación base CVSSv3 de 9,6/10) y CVE-2024-22250 (7,8/10), los dos fallos de seguridad parcheados hoy pueden ser utilizados por atacantes maliciosos para transmitir tickets de servicio Kerberos y hacerse cargo de sesiones EAP privilegiadas.
“Un actor malintencionado podría engañar a un usuario de dominio objetivo con EAP instalado en su navegador web para que solicite y transmita tickets de servicio para nombres principales de servicio (SPN) arbitrarios de Active Directory”, explica VMware al describir los vectores de ataque conocidos CVE-2024-22245.
“Un actor malicioso con acceso local sin privilegios a un sistema operativo Windows puede secuestrar una sesión EAP privilegiada cuando la inicia un usuario de dominio privilegiado en el mismo sistema”, añadió la compañía sobre CVE-2024-22250.
La compañía agregó que actualmente no tiene evidencia de que las vulnerabilidades de seguridad hayan sido atacadas o explotadas en la naturaleza.
Cómo Proteger los Sistemas Vulnerables
Para solucionar los fallos de seguridad CVE-2024-22245 y CVE-2024-22250, los administradores deben eliminar tanto el complemento/cliente del navegador (VMware Enhanced Authentication Plug-in 6.7.0) como el servicio de Windows. (Servicio de complemento de VMware).
Para desinstalarlos o deshabilitar el servicio de Windows si no es posible eliminarlos, puede ejecutar los siguientes comandos de PowerShell (como se recomienda aquí):
Uninstall
—————————
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Enhanced Authentication Plug-in")}).Uninstall()
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Plug-in Service")}).Uninstall()
Stop/Disable service
————————————————————
Stop-Service -Name "CipMsgProxyService"
Set-Service -Name "CipMsgProxyService" -StartupType "Disabled"
Afortunadamente, el VMware EAP obsoleto no se instala de forma predeterminada y no forma parte de los productos vCenter Server, ESXi o Cloud Foundation de VMware.
Los administradores deben instalarlo manualmente en las estaciones de trabajo Windows utilizadas para tareas administrativas para permitir el inicio de sesión directo cuando usan VMware vSphere Client a través de un navegador web.
Como alternativa a este complemento de autenticación vulnerable, VMware recomienda a los administradores utilizar otros métodos de autenticación de VMware vSphere 8, como Active Directory sobre LDAPS, Microsoft Active Directory Federation Services (ADFS), Okta y Microsoft Entra ID (anteriormente Azure AD).
El mes pasado, VMware también confirmó que una vulnerabilidad crítica de ejecución remota de código de vCenter Server (CVE-2023-34048) parcheada en octubre estaba bajo explotación activa.
Mandiant reveló que el grupo chino de ciberespionaje UNC3886 abusó de él como día cero durante más de dos años, al menos desde finales de 2021.