Les acteurs malveillants peuvent utiliser des erreurs de configuration de Microsoft SCCM pour lancer des cyberattaques

Les chercheurs ont découvert qu’un Microsoft Configuration Manager (SCCM) mal configuré peut entraîner des failles de sécurité. Ainsi, un acteur malveillant peut profiter de cette opportunité pour mener des cyberattaques, telles que des charges utiles, ou pour devenir contrôleur de domaine. De plus, le SCCM fonctionne dans de nombreux Active Directory. De plus, il aide les administrateurs à gérer les postes de travail et les serveurs sur les réseaux Windows.

Lors de la conférence sur la sécurité SO-CON , SpecterOps a annoncé son référentiel avec des attaques basées sur des configurations SCCM défectueuses . Vous pouvez également le vérifier en visitant leur page GitHub Misconfiguration Manager . De plus, leurs recherches sont un peu différentes des autres car elles incluent des tests d’intrusion, des opérations de l’équipe rouge et des recherches sur la sécurité.

Qu’est-ce que SCCM ?

SCCM signifie System Center Configuration Manager, et vous le connaissez peut-être sous le nom de Configuration Manager ou MCM. De plus, vous pouvez utiliser l’outil MCM pour gérer, sécuriser et déployer des appareils et des applications . Cependant, le SCCM n’est pas simple à mettre en place. De plus, les configurations par défaut entraînent des failles de sécurité.

Les attaquants peuvent prendre le contrôle de votre domaine en exploitant vos vulnérabilités de sécurité SCCM. Après tout, selon les chercheurs , les cybercriminels peuvent utiliser vos comptes d’accès réseau (NAA) s’ils utilisent trop de privilèges.

De plus, un administrateur inconscient ou novice pourrait utiliser le même compte pour tout. En conséquence, cela pourrait entraîner une diminution de la sécurité sur tous les appareils. De plus, certains sites MCM pourraient utiliser des contrôleurs de domaine. Ainsi, ils pourraient conduire à un contrôle de code à distance, surtout si la hiérarchie n’est pas en ordre.

Selon l’environnement, un attaquant peut utiliser quatre méthodes d’attaque différentes. La première méthode peut permettre l’accès aux informations d’identification (CRED). La deuxième attaque peut élever les privilèges (ELEVATE). Le troisième peut effectuer des reconnaissances et des découvertes (Recon), et le dernier prend le contrôle de la hiérarchie SCCM (TAKEOVER).

En fin de compte, vous devez gérer correctement votre SCCM et vérifier si la hiérarchie est en ordre. Il existe également trois manières de vous défendre. La première méthode consiste à prévenir les attaques en renforçant vos configurations MCM pour impacter la technique d’attaque (PREVENT).

La deuxième méthode consiste à surveiller vos journaux pour détecter les activités suspectes et à utiliser des systèmes de détection d’intrusion (DETECT). Ensuite, la troisième méthode consiste à implanter de faux paramètres de configuration et à intégrer des données cachées (CANARY).

Quelles sont vos pensées? Étiez-vous au courant de cette faille de sécurité ? Faites le nous savoir dans les commentaires.