©2022 - Todos os Direitos Reservados
Polìtica de Privacidade
Entrar em contato
ameaças cibernéticas

Remoção Urgente do Plug-in de Autenticação Vulnerável VMware Enhanced Authentication (EAP)

Inteligência Artificial

2 min read
Remoção Urgente do Plug-in de Autenticação Vulnerável VMware Enhanced Authentication (EAP)

A VMware, emitiu um comunicado urgente aos administradores de sistemas, solicitando que removam imediatamente o plug-in de autenticação obsoleto e vulnerável, conhecido como VMware Enhanced Authentication Plug-in (EAP). Este plug-in, descontinuado há quase três anos, apresenta duas vulnerabilidades críticas não corrigidas (CVE-2024-22245 e CVE-2024-22250) que podem resultar em ataques de retransmissão de autenticação e sequestro de sessão em ambientes de domínio do Windows.

Impacto

As falhas de segurança identificadas (CVE-2024-22245 e CVE-2024-22250) permitem a invasores mal-intencionados retransmitir tíquetes de serviço Kerberos e assumir sessões EAP privilegiadas. O CVE-2024-22245, com uma pontuação base CVSSv3 de 9,6/10, possibilita enganar  usuários de domínio para solicitar e retransmitir tíquetes de serviço para Nomes de Entidade de Serviço (SPNs) arbitrários do Active Directory. Enquanto isso, o CVE-2024-22250, pontuado em 7,8/10, permite a sequestro de sessões EAP privilegiadas por um ator mal-intencionado com acesso local não privilegiado a um sistema operacional Windows.

Medidas de Mitigação e Correção

A VMware recomenda a remoção imediata do plug-in/cliente no navegador (VMware Enhanced Authentication Plug-in 6.7.0) e do serviço Windows (VMware Plug-in Service) para mitigar os riscos associados a essas vulnerabilidades. Os administradores podem realizar essa ação executando os seguintes comandos do PowerShell:

# Desinstalar plug-in/cliente

  • (Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Enhanced Authentication Plug-in")}).Uninstall()

# Desinstalar serviço Windows

  • (Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Plug-in Service")}).Uninstall()

# Parar/desativar serviço

  • Stop-Service -Name "CipMsgProxyService"
  • Set-Service -Name "CipMsgProxyService" -StartupType "Disabled"


A VMware enfatiza que, atualmente, não há evidências de que essas vulnerabilidades tenham sido exploradas na natureza.

Alternativas Recomendadas

Para substituir o VMware EAP, a VMware aconselha os administradores a considerarem métodos de autenticação mais seguros, como Active Directory sobre LDAPS, Microsoft Active Directory Federation Services (ADFS), Okta e Microsoft Entra ID (antigo Azure AD). Essas alternativas proporcionam uma camada adicional de segurança e são recomendadas para ambientes VMware vSphere 8.

Quer amadurecer seu programa de segurança cibernética? Conheça a EcoTrust, uma plataforma CAASM (Cyber Asset Attack Surface Management) que prioriza riscos cibernéticos críticos para os negócios, integrando IA para segurança avançada. Agende uma demo aqui

Este artigo foi criado com uso de inteligência artificial generativa e teve a curadoria da Equipe EcoTrust.

Inscreva-se para mais como este.

Enter your email
Subscribe