VMware Warnung: Enhanced Authentication Plug-in (EAP) deinstallieren

[English]Virtualisierungsanbieter VMware hat gerade eine Sicherheitswarnung herausgegeben. Es geht um das Enhanced Authentication Plug-in (EAP), welches dringend deinstalliert werden sollte. Im Enhanced Authentication Plug-in (EAP) wurden kritische Schwachstellen gefunden. Keine Ahnung, ob EAP noch im Einsatz ist, denn dieses wurde 2021 als veraltet abgekündigt. Zudem ist EAP unter vCenter Server, ESXi, oder Cloud Foundation nicht im Installationsumfang enthalten.

Ich habe den Hinweis auf Sicherheitsprobleme beim VMware Enhanced Authentication Plug-in (EAP) auf X in mehreren Tweets gesehen. VMware by Broadcom hat am 20. Februar 2024 das Security Advisory VMSA-2024-0003 dazu veröffentlicht.

Zum 9. März 2021 gab es von VMware bereits die Abkündigung für EAP in verklausulierter Form in den VMware vCenter Server 7.0 Update 2 Release Notes (siehe Abschnitt "Deprecation of SSPI, CAC and RSA" in den Product Support Notices). Nun muss es ganz schnell gehen – wer dieses Enhanced Authentication Plug-in (EAP) noch zur Authentifizierung verwendet, sollte dieses sofort deinstallieren. Denn es wurden gleich zwei kritische Schwachstellen in diesem Plug-in bekannt.

• CVE-2024-22245: Arbitrary Authentication Relay and Session Hijack-Schwachstelle im veralteten VMware Enhanced Authentication Plug-in (EAP). Die Schwachstelle könnte es einem Angreifer ermöglichen, einen Zieldomänenanwender mit in seinem Webbrowser installiertem EAP auszutricksen, indem er Service-Tickets für beliebige Active Directory Service Principal Names (SPNs) anfordert und weiterleitet. Diese Schwachstelle besitzt den Schweregrad "Kritisch" und wurde mit einer maximalen CVSSv3-Basisbewertung von 9,6 eingestuft.
• CVE-2024-22250: Session Hijacking-Schwachstelle im veralteten VMware Enhanced Authentication Plug-in (EAP). Die Schwachstelle könnte es einem Angreifer mit unprivilegiertem lokalem Zugriff auf ein Windows-Betriebssystem ermöglichen, eine privilegierte EAP-Sitzung zu kapern, sofern diese von einem privilegierten Domänenbenutzer auf demselben System initiiert wird. VMware hat den Schweregrad dieser Schwachstelle als "wichtig" eingestuft, mit einem maximalen CVSSv3-Basiswert von 7,8 bewertet.

Um die Schwachstellen zu beseitigen, müssen Administratoren das EAP-Plugin in ihren VMware-Produkten deinstallieren. VMware hat dazu zum 20. Februar 2024 die Anleitung in KB96442 (Removing the deprecated VMware Enhanced Authentication Plugin (EAP) to address CVE-2024-22245 and CVE-2024-22250 (96442)) veröffentlicht. EAP besteht aus zwei Komponenten:

• In-Browser-Plugin/Client, "VMware Enhanced Authentication Plug-in 6.7.0"
• Windows-Dienst, "VMware Plug-in Service"

Beide Anwendungen sind laut VMware by Broadcom von den Endpunktsystemen zu entfernen, um die Schwachstellen zu entschärfen. Details dazu sind in der Anleitung zu finden. The Hacker News hat hier noch einige Einschätzung von Sicherheitsexperten zu den Schwachstellen. Hat noch jemand aus der Leserschaft EAP überhaupt im Einsatz?