Компания VMware призвала администраторов удалить EAP

Компания VMware выразила рекомендацию администраторам об удалении устаревшего плагина аутентификации VMware Enhanced Authentication Plug-in (EAP). Причина заключается в уязвимости EAP в корпоративных средах Windows к атакам типа authentication relay и возможности перехвата сессий из-за присутствия двух неисправленных уязвимостей.

EAP обеспечивает удобный доступ к управлению интерфейсами vSphere через интегрированную функцию Windows Authentication и поддержку смарт-карт Windows. VMware объявила о прекращении поддержки EAP около трех лет назад, в марте 2021 года, с выпуском vCenter Server 7.0 Update 2.

Согласно сообщению компании, устраненные на текущей неделе уязвимости CVE-2024-22245 (оценка 9,6 по шкале CVSS) и CVE-2024-22250 (оценка 7,8 по шкале CVSS) могут привести к возможности злоупотребления передачей тикетов Kerberos и перехвату привилегированных сессий EAP.

«Злоумышленник может обманом вынудить целевого пользователя домена с установленным в браузере EAP запрашивать и передавать сервисные билеты для произвольных Active Directory Service Principal Names (SPN), — поясняют в VMware. — Также атакующий с непривилегированным локальным доступом к операционной системе Windows может перехватить привилегированный сеанс EAP, инициированный привилегированным пользователем домена в той же системе».

Стоит отметить, что есть позитивные моменты: устаревший VMware EAP не устанавливается автоматически и не включен в поставку VMware vCenter Server, ESXi или Cloud Foundation. Тем не менее, часто администраторам приходится устанавливать EAP вручную.

Для устранения CVE-2024-22245 и CVE-2024-22250 придется удалить как браузерный плагин/клиент (VMware Enhanced Authentication Plug-in 6.7.0), так и службу в Windows (VMware Plug-in Service). Чтобы удалить их или отключить, нужно выполнить ряд PowerShell-команд.

В качестве альтернативы уязвимому и устаревшему плагину VMware рекомендует использовать другие методы аутентификации, включая Active Directory через LDAPS, Microsoft Active Directory Federation Services (ADFS), Okta и Microsoft Entra ID (ранее Azure AD).