A VMware felszólította a rendszergazdákat, hogy távolítsanak el egy megszűnt hitelesítési bővítményt, amely a Windows tartományi környezetekben két javítatlan biztonsági résen keresztül hitelesítési relay és session hijack támadásoknak van kitéve.
A sebezhető VMware Enhanced Authentication Plugin (EAP) lehetővé teszi a bejelentkezést a vSphere kezelőfelületeire az integrált Windows hitelesítés és a Windows alapú intelligens kártyafunkciókon keresztül.
A VMware 2021 márciusában, a vCenter Server 7.0 Update 2 kiadásával már bejelentette az EAP elavulását.
CVE-2024-22245 (9,6 kritikus): Egy rosszindulatú fél becsaphat egy olyan céltartomány felhasználót, akinek a webböngészőjébe EAP van telepítve, hogy tetszőleges Active Directory Service Principal Names (SPN) szolgáltatási jegyeket kérjen és továbbítson.
CVE-2024-22250 (7,8 magas): Egy Windows operációs rendszerhez jogosultság nélküli, helyi hozzáféréssel rendelkező rosszindulatú fél eltérítheti a jogosultsággal rendelkező EAP munkamenetet, ha azt egy ugyanazon a rendszeren lévő jogosultsággal rendelkező tartományi felhasználó kezdeményezi.
A vállalat hozzátette, hogy jelenleg nincs bizonyíték a biztonsági rések aktív kihasználásáról.
A CVE-2024-22245 és CVE-2024-22250 biztonsági hibák kiküszöböléséhez a rendszergazdáknak el kell távolítaniuk mind a böngészőben lévő plugint/klienst (VMware Enhanced Authentication Plug-in 6.7.0), mind a Windows szolgáltatást (VMware Plug-in Service).
Ezek eltávolítása a következő PowerShell parancsok futtatásával lehetséges:
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Enhanced Authentication Plug-in")}).Uninstall()
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Plug-in Service")}).Uninstall()
Ha az eltávolítás nem lehetséges, a szolgáltatás leállítása/letiltása:
Stop-Service -Name "CipMsgProxyService"
Set-Service -Name "CipMsgProxyService" -StartupType "Disabled"
Az elavult VMware EAP alapértelmezés szerint nincs telepítve, és nem része a VMware vCenter Server, ESXi vagy Cloud Foundation termékeknek. A rendszergazdáknak manuálisan kell telepíteniük a rendszergazdai feladatokhoz használt Windows munkaállomásokra, hogy lehetővé tegyék a közvetlen bejelentkezést a VMware vSphere Client webböngészőn keresztül történő használata során.
A sebezhető auth plugin alternatívájaként a VMware azt tanácsolja az adminoknak, hogy más VMware vSphere 8 hitelesítési módszereket használjanak (pl. Active Directory az LDAPS-en keresztül, a Microsoft Active Directory Federation Services (ADFS), Okta és a Microsoft Entra ID).
