Los actores de amenazas pueden utilizar configuraciones erróneas de Microsoft SCCM para ataques cibernéticos

Los investigadores descubrieron que un Administrador de configuración de Microsoft (SCCM) mal configurado puede provocar vulnerabilidades de seguridad. Por lo tanto, un actor de amenazas puede aprovechar esta oportunidad para realizar ciberataques, como cargas útiles, o convertirse en un controlador de dominio. Además, SCCM funciona en muchos directorios activos. Además, ayuda a los administradores a administrar estaciones de trabajo y servidores en redes Windows.

Durante la conferencia de seguridad SO-CON , SpecterOps anunció su repositorio con ataques basados ​​en configuraciones SCCM defectuosas . Además, puedes comprobarlo visitando su página Administrador de configuración incorrecta de GitHub . Además, su investigación es un poco diferente de otras porque incluye pruebas de penetración, operaciones del equipo rojo e investigación de seguridad.

¿Qué es SCCM?

SCCM significa System Center Configuration Manager y es posible que lo conozca como Configuration Manager o MCM. Además, puede utilizar la herramienta MCM para administrar, proteger e implementar dispositivos y aplicaciones . Sin embargo, el SCCM no es fácil de configurar. Además de eso, las configuraciones predeterminadas generan vulnerabilidades de seguridad.

Los atacantes pueden obtener control sobre su dominio explotando las vulnerabilidades de seguridad de SCCM. Después de todo, según los investigadores , los ciberdelincuentes pueden utilizar sus cuentas de acceso a la red (NAA) si utilizan demasiados privilegios.

Además, un administrador novato o desconocido podría usar la misma cuenta para todas las cosas. Como resultado, esto podría provocar una disminución de la seguridad en todos los dispositivos. Además, algunos sitios MCM podrían utilizar controladores de dominio. Por lo tanto, podrían conducir al control remoto del código, especialmente si la jerarquía no está en orden.

Dependiendo del entorno, un atacante podría utilizar cuatro métodos de ataque diferentes. El primer método puede permitir el acceso a las credenciales (CRED). El segundo ataque puede elevar privilegios (ELEVATE). El tercero puede realizar reconocimiento y descubrimiento (Recon), y el último obtiene control sobre la jerarquía SCCM (TAKEOVER).

En última instancia, debe administrar adecuadamente su SCCM y verificar si la jerarquía está en orden. Además, hay tres formas en las que puedes defenderte. El primer método es prevenir ataques fortaleciendo sus configuraciones de MCM para impactar la técnica de ataque (PREVENIR).

El segundo método consiste en monitorear sus registros en busca de actividades sospechosas y utilizar sistemas de detección de intrusos (DETECT). Luego, el tercer método consiste en colocar ajustes de configuración falsos e incrustar datos ocultos (CANARY).

¿Cuáles son tus pensamientos? ¿Estaba usted al tanto de esta vulnerabilidad de seguridad? Háganos saber en los comentarios.