VMware ha emitido un aviso de seguridad dando a conocer dos vulnerabilidades dentro de su plugin de autenticación mejorada (Enhanced Authentication Plug-in – EAP). Los atacantes podrían explotar estos fallos para secuestrar sesiones de usuario e infiltrarse en sistemas sensibles utilizando técnicas avanzadas de ataque a dominios de Windows.
Cabe mencionar que dicho plugin se descontinuó desde el 2021, sin embargo, podría estar presentes en los sistemas de los clientes, a continuación, se detallan las vulnerabilidades:
CVE-2024-22245 (CVSS 9.6): Permite a los atacantes sustraer y retransmitir credenciales de autenticación, otorgando potencialmente control total sobre las cuentas administrativas dentro de tu entorno VMware.
CVE-2024-22250 (CVSS 7.8): Permite a un actor malicioso con acceso local sin privilegios en un sistema operativo Windows secuestrar una sesión privilegiada de la EAP.
Productos Afectadas
VmWare Enhanced Authentication Plug-in – EAP versión 6.7.0, utilizado dentro de los entornos VMware vSphere .
Solución
- Desinstalar el Plugin: Remover el plugin de navegador “VMware Enhanced Authentication Plug-in 6.7.0.”
- Deshabilitar el Servicio: Desactivar de forma permanente el “Servicio de Plugin VMware” asociado.
- Uso de PowerShell: En casos donde la desinstalación completa no sea inmediatamente viable, se recomienda el uso de comandos PowerShell para deshabilitar temporalmente el servicio.
Recomendaciones
Revisar todos los sistemas para identificar la presencia del plugin de autenticación mejorada (EAP) y eliminar cualquier instancia del mismo para prevenir posibles compromisos.
Implementar políticas de seguridad más estrictas para la gestión de credenciales y el acceso a sistemas sensibles. Esto incluye la revisión de prácticas de autenticación, el fortalecimiento de contraseñas y la implementación de autenticación multifactor donde sea posible, añadiendo así una capa adicional de seguridad contra ataques que exploten vulnerabilidades similares.
Aplicar las actualizaciones de seguridad y parches de forma proactiva a todos los sistemas críticos.
Referencias
https://securityonline.info/cve-2024-22245-22250-vmware-vulnerabilities-demand-immediate-action
https://www.vmware.com/security/advisories/VMSA-2024-0003.html