VMware Warnung: Enhanced Authentication Plug-in (EAP) deinstallieren

Sicherheit (Pexels, allgemeine Nutzung)[English]Virtualisierungsanbieter VMware hat gerade eine Sicherheitswarnung herausgegeben. Es geht um das Enhanced Authentication Plug-in (EAP), welches dringend deinstalliert werden sollte. Im Enhanced Authentication Plug-in (EAP) wurden kritische Schwachstellen gefunden. Keine Ahnung, ob EAP noch im Einsatz ist, denn dieses wurde 2021 als veraltet abgekündigt. Zudem ist EAP unter vCenter Server, ESXi, oder Cloud Foundation nicht im Installationsumfang enthalten.

Ich habe den Hinweis auf Sicherheitsprobleme beim VMware Enhanced Authentication Plug-in (EAP) auf X in mehreren Tweets gesehen. VMware by Broadcom hat am 20. Februar 2024 das Security Advisory VMSA-2024-0003 dazu veröffentlicht.

Uninstall VMware Enhanced Authentication Plug-in (EAP)

Zum 9. März 2021 gab es von VMware bereits die Abkündigung für EAP in verklausulierter Form in den VMware vCenter Server 7.0 Update 2 Release Notes (siehe Abschnitt „Deprecation of SSPI, CAC and RSA“ in den Product Support Notices). Nun muss es ganz schnell gehen – wer dieses Enhanced Authentication Plug-in (EAP) noch zur Authentifizierung verwendet, sollte dieses sofort deinstallieren. Denn es wurden gleich zwei kritische Schwachstellen in diesem Plug-in bekannt.

  • CVE-2024-22245: Arbitrary Authentication Relay and Session Hijack-Schwachstelle im veralteten VMware Enhanced Authentication Plug-in (EAP). Die Schwachstelle könnte es einem Angreifer ermöglichen, einen Zieldomänenanwender mit in seinem Webbrowser installiertem EAP auszutricksen, indem er Service-Tickets für beliebige Active Directory Service Principal Names (SPNs) anfordert und weiterleitet. Diese Schwachstelle besitzt den Schweregrad „Kritisch“ und wurde mit einer maximalen CVSSv3-Basisbewertung von 9,6 eingestuft.
  • CVE-2024-22250: Session Hijacking-Schwachstelle im veralteten VMware Enhanced Authentication Plug-in (EAP). Die Schwachstelle könnte es einem Angreifer mit unprivilegiertem lokalem Zugriff auf ein Windows-Betriebssystem ermöglichen, eine privilegierte EAP-Sitzung zu kapern, sofern diese von einem privilegierten Domänenbenutzer auf demselben System initiiert wird. VMware hat den Schweregrad dieser Schwachstelle als „wichtig“ eingestuft, mit einem maximalen CVSSv3-Basiswert von 7,8 bewertet.

Um die Schwachstellen zu beseitigen, müssen Administratoren das EAP-Plugin in ihren VMware-Produkten deinstallieren. VMware hat dazu zum 20. Februar 2024 die Anleitung in KB96442 (Removing the deprecated VMware Enhanced Authentication Plugin (EAP) to address CVE-2024-22245 and CVE-2024-22250 (96442)) veröffentlicht. EAP besteht aus zwei Komponenten:

  • In-Browser-Plugin/Client, „VMware Enhanced Authentication Plug-in 6.7.0“
  • Windows-Dienst, „VMware Plug-in Service“

Beide Anwendungen sind laut VMware by Broadcom von den Endpunktsystemen zu entfernen, um die Schwachstellen zu entschärfen. Details dazu sind in der Anleitung zu finden. The Hacker News hat hier noch einige Einschätzung von Sicherheitsexperten zu den Schwachstellen. Hat noch jemand aus der Leserschaft EAP überhaupt im Einsatz?

Dieser Beitrag wurde unter Sicherheit, Virtualisierung abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu VMware Warnung: Enhanced Authentication Plug-in (EAP) deinstallieren

  1. DankeBroadcom sagt:

    ja, hier.
    Denn das war/ist wohl der einzige Weg, wie AD-Nutzer, die Mitglied der „Protected Users“-Gruppe sind, sich sich in einer Umgebung ohne CA/Smartcard oder ADFS mit vSphere-Client am vCenter anmelden können.

    Dann wohl wieder parallel Nutzer in der vsphere.local-Domain pflegen.

    DankeBroadcom

    https://kb.vmware.com/s/article/79647

    • 1ST1 sagt:

      Nein, musst du nicht. Gib den Admins für die VCenter-Anmeldung einfach ein Extra-Konto im AD, es braucht sonst keine andere Rechte.

      • DankeBroadcom sagt:

        Es geht explizit um die Mitgliedschaft dieser Konten in der AD-Gruppe „Protected Users“.
        Da möchte man Admins in der Regel drin haben; vor allem bei so Zugriffen auf neuralgische Verwaltungsoberflächen wie einem vCenter.

        Dem Hersteller ist diese Einschränkung offenbar bekannt.
        Zitat https://kb.vmware.com/s/article/79647:
        „[…] Attempting to login with a user account fails […]“
        „[…] Resolution
        There is no resolution
        Workaround
        Utilize a user account outside of the ‚Protected Users‘ Group
        […]“

        Mit EAC ging eine Anmeldung im vCenter auch bei Mitgliedschaft in den Protected Users. Schade drum.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert