VMware hat Nutzer dazu aufgefordert, dringend das veraltete Enhanced Authentication Plugin (EAP) zu deinstallieren, nachdem eine kritische Sicherheitslücke entdeckt wurde.
VMware fordert in einem Advisory Administratoren auf, ein veraltetes Authentifizierungs-Plugin zu entfernen. Dieses sei wegen zweier ungesicherter Sicherheitslücken anfällig für Authentifizierungsweiterleitung und Sitzungsübernahme-Angriffe in Windows-Domäneneinstellungen.
Dabei geht es um VMware Enhanced Authentication Plug-in (EAP), das eine bequeme Anmeldung an vSphere-Verwaltungsschnittstellen über integrierte Windows-Authentifizierung und Windows-basierte Smartcard-Funktionalität auf Windows-Client-Systemen ermöglicht. Dadurch können Administratoren, sich direkt über den VMware vSphere Client per Webbrowser anmelden, ohne zusätzliche Anmeldeinformationen eingeben zu müssen. VMware hatte bereits vor fast drei Jahren das Ende von EAP erklärt.
Die beiden Sicherheitslücken wurden als CVE-2024-22245 (mit einer Schweregradbewertung von 9,6/10) und CVE-2024-22250 (mit einer Bewertung von 7,8/10) identifiziert. Die Schwachstellen können von Angreifern ausgenutzt werden, um Kerberos-Service-Tickets weiterzuleiten und die Kontrolle über privilegierte EAP-Sitzungen zu übernehmen.
Wie VMware erklärt, „könnte ein bösartiger Akteur einen Ziel-Benutzer in der Domäne mit installiertem EAP in ihrem Webbrowser dazu bringen, Service-Tickets für beliebige Active Directory Service Principal Names (SPNs) anzufordern und weiterzuleiten.“ Weiterhin ergänzte das Unternehmen bezüglich CVE-2024-22250: „Ein bösartiger Akteur mit nicht privilegiertem lokalem Zugriff auf ein Windows-Betriebssystem kann eine privilegierte EAP-Sitzung übernehmen, wenn sie von einem privilegierten Domänenbenutzer auf demselben System initiiert wird.“
Wichtig: Die Mängel betreffen nur Nutzer, die EAP zu Microsoft Windows-Systemen hinzugefügt haben, um über den vSphere Client eine Verbindung zu VMware vSphere herzustellen.
Das von Broadcom übernommene Unternehmen sagte, dass die Schwachstellen nicht behoben werden, und empfahl stattdessen den Nutzern, das Plugin vollständig zu entfernen, um potenziellen Bedrohungen zuvor zukommen. „Das Enhanced Authentication Plugin kann von Client-Systemen mithilfe der Methode des Betriebssystems zum Deinstallieren von Software entfernt werden“, fügte es hinzu.