VMware insta a desinstalar el EAP por grave vulnerabilidad en Active Directory

VMware insta a desinstalar el EAP por grave vulnerabilidad en Active Directory

VMware ha emitido una alerta crítica instando a los usuarios a desinstalar el Plugin de Autenticación Mejorada (Enhanced Authentication Plugin, EAP), tras descubrirse una vulnerabilidad severa que pone en riesgo al Active Directory.

Vulnerabilidad Crítica en EAP (CVE-2024-22245)

Identificada con el código CVE-2024-22245 y una puntuación CVSS de 9.6, la vulnerabilidad descubierta en el EAP ha sido clasificada como un fallo de retransmisión de autenticación arbitraria. Según VMware, un actor malicioso podría engañar a un usuario del dominio objetivo con EAP instalado en su navegador web para solicitar y retransmitir tickets de servicio para Nombres de Principales de Servicio (Service Principal Names, SPNs) de Active Directory arbitrarios. Esta falla abre la puerta a diversas actividades maliciosas, incluyendo la escalada de privilegios y el acceso no autorizado a recursos críticos.

Otra Vulnerabilidad: Secuestro de Sesión (CVE-2024-22250)

Además, se ha identificado una vulnerabilidad de secuestro de sesión (CVE-2024-22250, con una puntuación CVSS de 7.8) que podría permitir a un actor malicioso con acceso local no privilegiado a un sistema operativo Windows tomar control de una sesión EAP privilegiada. Estas revelaciones ponen en evidencia la importancia de mantener los sistemas actualizados y libres de componentes obsoletos o innecesarios.

Recomendaciones de VMware

Desinstalación y Medidas Preventivas

VMware, propiedad de Broadcom, ha declarado que no se abordarán estas vulnerabilidades, recomendando en su lugar la eliminación completa del plugin para mitigar posibles amenazas. La desinstalación del Enhanced Authentication Plugin puede realizarse utilizando el método del sistema operativo cliente para eliminar software. Esta medida preventiva es crucial para evitar que los sistemas Windows que se conectan a VMware vSphere a través del Cliente vSphere sean explotados por actores maliciosos.

Implicaciones

El descubrimiento de estas vulnerabilidades subraya la importancia de una gestión de seguridad proactiva y la necesidad de una revisión constante de las herramientas y complementos instalados en los sistemas críticos. La desinstalación de componentes obsoletos o no utilizados es un paso fundamental en la minimización de la superficie de ataque y la protección contra vulnerabilidades no corregidas.


Preguntas Frecuentes (FAQ)

  • ¿Qué es el Plugin de Autenticación Mejorada (EAP)? El EAP es un paquete de software diseñado para permitir el inicio de sesión directo en las interfaces y herramientas de gestión de vSphere a través de un navegador web. Fue declarado obsoleto en marzo de 2021.
  • ¿Cómo puedo saber si tengo el EAP instalado? Para verificar la presencia del EAP en su sistema, puede revisar la lista de programas instalados en el Panel de Control de Windows o utilizar herramientas específicas de gestión de software.
  • ¿Qué debo hacer si tengo el EAP instalado? VMware recomienda la desinstalación inmediata del EAP utilizando el método de desinstalación de software proporcionado por el sistema operativo cliente. Es importante seguir las instrucciones específicas para asegurar que el proceso se complete correctamente y sin dejar residuos que podrían comprometer la seguridad.