Bedrohungsakteure können Microsoft SCCM-Fehlkonfigurationen für Cyberangriffe nutzen

Forscher haben herausgefunden, dass ein falsch konfigurierter Microsoft Configuration Manager (SCCM) zu Sicherheitslücken führen kann. Somit kann ein Bedrohungsakteur diese Gelegenheit für Cyberangriffe wie Nutzlasten nutzen oder zum Domänencontroller werden. Darüber hinaus funktioniert der SCCM in vielen Active Directorys. Darüber hinaus unterstützt es Administratoren bei der Verwaltung von Workstations und Servern in Windows-Netzwerken.

Während der SO-CON-Sicherheitskonferenz kündigte SpecterOps sein Repository mit Angriffen an, die auf fehlerhaften SCCM-Konfigurationen basieren . Sie können es sich auch ansehen, indem Sie die Seite „GitHub Misconfiguration Manager“ besuchen . Darüber hinaus unterscheidet sich ihre Forschung ein wenig von anderen, da sie Penetrationstests, Red-Team-Operationen und Sicherheitsforschung umfasst.

Was ist SCCM?

SCCM steht für System Center Configuration Manager und Sie kennen es vielleicht als Configuration Manager oder MCM. Darüber hinaus können Sie mit dem MCM-Tool Geräte und Anwendungen verwalten, sichern und bereitstellen . Allerdings ist das SCCM nicht einfach einzurichten. Darüber hinaus führen die Standardkonfigurationen zu Sicherheitslücken.

Die Angreifer können die Kontrolle über Ihre Domain erlangen, indem sie Ihre SCCM-Sicherheitslücken ausnutzen. Denn laut Forschern können Cyberkriminelle Ihre Netzwerkzugriffskonten (NAA) nutzen, wenn sie zu viele Privilegien verwenden.

Außerdem könnte ein unwissender oder unerfahrener Administrator für alle Dinge dasselbe Konto verwenden. Infolgedessen kann dies zu einer verringerten Sicherheit auf allen Geräten führen. Darüber hinaus könnten einige MCM-Sites Domänencontroller verwenden. Daher können sie zu einer Fernsteuerung des Codes führen, insbesondere wenn die Hierarchie nicht in Ordnung ist.

Abhängig von der Umgebung könnte ein Angreifer vier verschiedene Angriffsmethoden anwenden. Die erste Methode kann den Zugriff auf Anmeldeinformationen (CRED) ermöglichen. Der zweite Angriff kann Privilegien erhöhen (ELEVATE). Der Dritte kann Aufklärung und Entdeckung durchführen (Recon), und der Letzte erlangt die Kontrolle über die SCCM-Hierarchie (TAKEOVER).

Letztendlich sollten Sie Ihr SCCM ordnungsgemäß verwalten und überprüfen, ob die Hierarchie in Ordnung ist. Außerdem gibt es drei Möglichkeiten, wie Sie sich verteidigen können. Die erste Methode besteht darin, Angriffe zu verhindern, indem Sie Ihre MCM-Konfigurationen stärken, um die Angriffstechnik zu beeinflussen (PREVENT).

Die zweite Methode besteht darin, Ihre Protokolle auf verdächtige Aktivitäten zu überwachen und Intrusion-Detection-Systeme (DETECT) zu verwenden. Anschließend besteht die dritte Methode darin, gefälschte Konfigurationseinstellungen einzuschleusen und versteckte Daten einzubetten (CANARY).

Was sind deine Gedanken? War Ihnen diese Sicherheitslücke bekannt? Lass es uns in den Kommentaren wissen.