VMwareは2月20日(米国時間)、「VMSA-2024-0003」において、非推奨の「VMware Enhanced Authentication Plug-in (EAP)」に2件の脆弱性が存在すると報じた。この脆弱性を悪用されると、攻撃者はWebブラウザにEAPをインストールしているユーザーをだまして任意のActive Directoryサービスプリンシパル名(SPN: Service Principal Name)のサービスチケットを要求および中継させる可能性がある。

  • VMSA-2024-0003

    VMSA-2024-0003

「VMware Enhanced Authentication Plug-in (EAP)」とは?

VMware Enhanced Authentication Plug-in (EAP)は2021年3月に非推奨となったWebブラウザプラグイン。vSphereの管理インタフェースおよびツールに直接ログインできるように設計されたソフトウェアパッケージとされる(参考:「VMware vCenter Server 7.0 Update 2 Release Notes」)。

このプラグインはデフォルトではインストールされない。また、vCenter Server、ESXi、Cloud Foundationにも含まれない。影響を受けるユーザーは手動でプラグインをインストールしたユーザーのみとされる。

脆弱性の概要

発見された脆弱性の情報(CVE)は次のとおり。

CVE-2024-22245

任意の認証リレーおよびセッションハイジャックの脆弱性。攻撃者はEAPをWebブラウザにインストールしたユーザーをだまして任意のActive Directoryサービスプリンシパル名(SPN)のサービスチケットを要求および中継させる可能性がある

CVE-2024-22250

セッションハイジャックの脆弱性。Windowsの非特権ローカルアクセスを持つ攻撃者が、同じシステム上の特権ドメインユーザーの開始した特権EAPセッションをハイジャックできる可能性がある

対策

発見された脆弱性のうち最も高い深刻度は緊急(Critical)と評価されており注意が必要。VMwareは脆弱性の対策として、VMware Enhanced Authentication Plug-in (EAP)をアンインストールすることを推奨している。軽減策や回避策は提示しておらず、追加のパッチも提供の予定はない。なお、アンインストールはWindowsの「プログラムと機能」から実施できるとアナウンスしている(参考:「VMSA-2024-0003: Questions & Answers | VMware」)。