今天，VMware 督促管理员删除一个不再使用的认证插件。攻击者利用两个未修复的安全漏洞，可导致该插件被暴露到 Windows 域名环境下的认证中继和会话劫持攻击。

易受攻击的 VMware 增强认证插件 (EAP) 可使用户通过Windows 客户端系统上的一体化 Windows 认证和基于 Windows 的智能卡功能，无缝登录到 vSphere 的管理接口。

VMware在大概3年前的2021年3月，宣布弃用 EAP并推出了 vCenter Server 7.0 Update 2。这两个已被修复的安全漏洞是CVE-2024-22245（CVSS v3 9.6分）和CVE-2024-22250（CVSS v3 7.8分），可导致恶意攻击者中继 Kerberos 服务工单并接管 EAP 权限会话。

VMware 公司在说明CVE-2024-22245的已知攻击向量时提到，“恶意人员可诱骗在 web 浏览器中安装了EAP 的目标域名用户请求并中继任意 SPNs 的服务工单。”针对CVE-2024-22250，该公司提到，“对Windows 操作系统具有低权限的本地访问权限的恶意人员能够劫持 EAP 权限会话，前提是会话由同一系统上的权限域名账户触发。”

VMware 公司提到，目前尚未有证据表明这些漏洞已遭在野利用。

如何确保易受攻击系统的安全

要修复CVE-2024-22245和CVE-2024-22250这两个漏洞，管理员必须同时删除浏览器内插件/客户端（VMware Enhanced Authentication Plug-in 6.7.0）和 Windows 服务 (VMware Plug-in Service)。

如因无法删除而需要卸载或禁用，则必须运行以下 PowerShell 命令：

Uninstall
—————————
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Enhanced Authentication Plug-in")}).Uninstall()
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Plug-in Service")}).Uninstall()
Stop/Disable service
————————————————————
Stop-Service -Name "CipMsgProxyService"
Set-Service -Name "CipMsgProxyService" -StartupType "Disabled"

好在已弃用的 VMware EAP 并非默认安装且它并非 VMware的 vCenter Server、ESXi 或 Cloud Foundation 产品的一部分。管理员必须手动将其安装在用于管理任务的 Windows 工作站，在通过 web 浏览器使用 VMware vSphere Client 时启用直接登录。

作为这个易受攻击的认证插件的替代项，VMware 建议管理员使用其它 VMware vSphere 8 认证方法如 Active Directory over LDAPS、Microsoft Active Directory Federation Services (ADFS)、Okata 以及 Microsoft Entra ID（即此前的 Azure AD）。

上个月，VMware 公司还证实称，去年10月修复的一个严重的 vCenter Server 远程代码执行漏洞 (CVE-2024-34048) 正遭活跃利用。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~