Η VMware προέτρεψε τους διαχειριστές σήμερα να αφαιρέσουν ένα πρόσθετο ελέγχου ταυτότητας
που
έχει διακοπεί που εκτίθεται σε επιθέσεις αναμετάδοσης ελέγχου ταυτότητας και παραβίασης περιόδου λειτουργίας σε περιβάλλοντα τομέα των Windows μέσω δύο ευπάθειας ασφαλείας που δεν έχουν επιδιορθωθεί.
Η ευάλωτη προσθήκη VMware Enhanced Authentication Plug-in (EAP) επιτρέπει την απρόσκοπτη σύνδεση στις διεπαφές διαχείρισης του vSphere μέσω ενσωματωμένου ελέγχου ταυτότητας Windows και λειτουργιών έξυπνων καρτών που βασίζονται σε Windows σε συστήματα πελατών Windows.
VMware
ανακοινώθηκε
Η κατάργηση του EAP πριν από σχεδόν τρία χρόνια, τον Μάρτιο του 2021, με την κυκλοφορία του vCenter Server 7.0 Update 2.
Παρακολούθησαν ως CVE-2024-22245 (9.6/10 CVSSv3 βασική βαθμολογία) και CVE-2024-22250 (7.8/10), τα δύο ελαττώματα ασφαλείας που επιδιορθώθηκαν σήμερα μπορούν να χρησιμοποιηθούν από κακόβουλους εισβολείς για την αναμετάδοση εισιτηρίων υπηρεσίας
Kerberos
και την ανάληψη προνομιακών συνεδριών EAP .
“Ένας κακόβουλος παράγοντας θα μπορούσε να ξεγελάσει έναν χρήστη τομέα-στόχου με το EAP εγκατεστημένο στο πρόγραμμα περιήγησής του στο Web ώστε να ζητήσει και να αναμεταδώσει εισιτήρια υπηρεσίας για αυθαίρετα κύρια ονόματα υπηρεσίας καταλόγου Active Directory (SPN)”, εξηγεί η VMware όταν περιγράφει γνωστά διανύσματα επίθεσης CVE-2024-22245.
“Ένας κακόβουλος παράγοντας με μη προνομιακή τοπική πρόσβαση σε ένα λειτουργικό σύστημα Windows μπορεί να παραβιάσει μια προνομιακή περίοδο λειτουργίας EAP όταν εκκινηθεί από έναν προνομιούχο χρήστη τομέα στο ίδιο σύστημα”, πρόσθεσε η εταιρεία σχετικά με το CVE-2024-22250.
Η εταιρεία πρόσθεσε ότι επί του παρόντος δεν έχει στοιχεία ότι τα τρωτά σημεία ασφαλείας έχουν στοχοποιηθεί ή εκμεταλλευτεί στην άγρια φύση.
Πώς να ασφαλίσετε ευάλωτα συστήματα
Για την αντιμετώπιση των ελαττωμάτων ασφαλείας CVE-2024-22245 και CVE-2024-22250, οι διαχειριστές πρέπει να καταργήσουν τόσο την προσθήκη/πελάτη στο πρόγραμμα περιήγησης (VMware Enhanced Authentication Plug-in 6.7.0) όσο και την υπηρεσία Windows (VMware Plug-in Service).
Για να τα απεγκαταστήσετε ή να απενεργοποιήσετε την υπηρεσία των Windows, εάν η αφαίρεση δεν είναι δυνατή, μπορείτε να εκτελέσετε τις ακόλουθες εντολές PowerShell (όπως συνιστάται
εδώ
):
Uninstall
—————————
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Enhanced Authentication Plug-in")}).Uninstall()
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Plug-in Service")}).Uninstall()
Stop/Disable service
————————————————————
Stop-Service -Name "CipMsgProxyService"
Set-Service -Name "CipMsgProxyService" -StartupType "Disabled"
Ευτυχώς, το καταργημένο VMware EAP δεν είναι εγκατεστημένο από προεπιλογή και δεν αποτελεί μέρος των προϊόντων vCenter Server, ESXi ή
Cloud
Foundation
της VMware.
Οι διαχειριστές πρέπει να το εγκαταστήσουν με μη αυτόματο τρόπο σε σταθμούς εργασίας των Windows που χρησιμοποιούνται για εργασίες διαχείρισης για να ενεργοποιήσουν την απευθείας σύνδεση όταν χρησιμοποιούν το VMware vSphere Client μέσω ενός προγράμματος περιήγησης ιστού.
Ως εναλλακτική λύση σε αυτήν την ευάλωτη προσθήκη ελέγχου ταυτότητας, η VMware συμβουλεύει τους διαχειριστές να χρησιμοποιούν άλλες
μεθ
όδους ελέγχου ταυτότητας VMware vSphere 8, όπως Active Directory μέσω LDAPS, Microsoft Active Directory Federation Services (ADFS), Okta και Microsoft Entra ID (πρώην Azure AD).
Τον περασμένο μήνα, η VMware επιβεβαίωσε επίσης ότι μια κρίσιμη ευπάθεια εκτέλεσης κώδικα απομακρυσμένου διακομιστή vCenter (CVE-2023-34048) που επιδιορθώθηκε τον Οκτώβριο ήταν υπό ενεργή εκμετάλλευση.
Η Mandiant αποκάλυψε ότι η κινεζική ομάδα κατασκοπείας στον κυβερνοχώρο UNC3886 το έκανε κατάχρηση ως μηδενική ημέρα για περισσότερα από δύο χρόνια, τουλάχιστον από τα τέλη του 2021.
VIA:
bleepingcomputer.com
