VMware a exhorté les administrateurs aujourd’hui à supprimer un plug-in d’authentification abandonné exposé aux attaques de relais d’authentification et de détournement de session dans les environnements de domaine Windows via deux vulnérabilités de sécurité non corrigées.

Le plug-in VMware Enhanced Authentication (EAP) vulnérable permet une connexion transparente aux interfaces de gestion de vSphere via une authentification Windows intégrée et une fonctionnalité de carte à puce Windows sur les systèmes clients Windows.

VMware a annoncé la dépréciation d’EAP il y a près de trois ans, en mars 2021, avec la sortie de vCenter Server 7.0 Update 2.

Suivi comme CVE-2024-22245 (score de base de 9,6 / 10 CVSSv3) et CVE-2024-22250 (7.8/10), les deux failles de sécurité corrigées aujourd’hui peuvent être utilisées par des attaquants malveillants pour relayer les tickets de service Kerberos et prendre le contrôle des sessions EAP privilégiées.

« Un acteur malveillant pourrait inciter un utilisateur de domaine cible avec EAP installé dans son navigateur Web à demander et à relayer des tickets de service pour des noms principaux de service Active Directory arbitraires », explique VMware en décrivant les vecteurs d’attaque connus CVE-2024-22245.

« Un acteur malveillant disposant d’un accès local non privilégié à un système d’exploitation Windows peut détourner une session EAP privilégiée lorsqu’elle est initiée par un utilisateur de domaine privilégié sur le même système », a ajouté la société à propos de CVE-2024-22250.

La société a ajouté qu’elle n’avait actuellement aucune preuve que les failles de sécurité aient été ciblées ou exploitées dans la nature.

Comment sécuriser les systèmes vulnérables
Pour résoudre les failles de sécurité CVE-2024-22245 et CVE-2024-22250, les administrateurs doivent supprimer à la fois le plug-in/client intégré au navigateur (Plug-in d’authentification améliorée VMware 6.7.0) et le service Windows (Service de plug-in VMware).

Pour les désinstaller ou désactiver le service Windows si la suppression n’est pas possible, vous pouvez exécuter les commandes PowerShell suivantes (comme conseillé ici):

Uninstall
—————————
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Enhanced Authentication Plug-in")}).Uninstall()
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Plug-in Service")}).Uninstall()

Stop/Disable service
————————————————————
Stop-Service -Name "CipMsgProxyService"
Set-Service -Name "CipMsgProxyService" -StartupType "Disabled"

Heureusement, VMware EAP obsolète n’est pas installé par défaut et ne fait pas partie des produits VMware vCenter Server, ESXi ou Cloud Foundation.

Les administrateurs doivent l’installer manuellement sur les postes de travail Windows utilisés pour les tâches d’administration afin d’activer la connexion directe lors de l’utilisation du client VMware vSphere via un navigateur Web.

Comme alternative à ce plug-in d’authentification vulnérable, VMware conseille aux administrateurs d’utiliser d’autres méthodes d’authentification VMware vSphere 8 telles que Active Directory via LDAPS, Microsoft Active Directory Federation Services (ADFS), Okta et Microsoft Entra ID (anciennement Azure AD).

Le mois dernier, VMware a également confirmé qu’une vulnérabilité critique d’exécution de code à distance vCenter Server (CVE-2023-34048) corrigée en octobre était activement exploitée.

Mandiant a révélé que le groupe de cyberespionnage chinois UNC3886 en avait abusé comme d’un jour zéro pendant plus de deux ans, depuis au moins la fin de 2021.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *