Gli autori delle minacce possono utilizzare le configurazioni errate di Microsoft SCCM per attacchi informatici

I ricercatori hanno scoperto che un Microsoft Configuration Manager (SCCM) configurato in modo errato può portare a vulnerabilità della sicurezza. Pertanto, un attore della minaccia può sfruttare questa opportunità per attacchi informatici, come payload, o per diventare un controller di dominio. Inoltre, SCCM funziona in molte Active Directory. Inoltre, aiuta gli amministratori a gestire workstation e server su reti Windows.

Durante la conferenza sulla sicurezza SO-CON , SpecterOps ha annunciato il proprio repository con attacchi basati su configurazioni SCCM errate . Inoltre, puoi verificarlo visitando la loro pagina GitHub Misconfiguration Manager . Inoltre, la loro ricerca è leggermente diversa dalle altre perché include test di penetrazione, operazioni del team rosso e ricerca sulla sicurezza.

Cos’è l’SCCM?

SCCM sta per System Center Configuration Manager e potresti conoscerlo come Configuration Manager o MCM. Inoltre, puoi utilizzare lo strumento MCM per gestire, proteggere e distribuire dispositivi e applicazioni . Tuttavia, l’SCCM non è facile da configurare. Oltre a ciò, le configurazioni predefinite portano a vulnerabilità della sicurezza.

Gli aggressori possono ottenere il controllo del tuo dominio sfruttando le vulnerabilità della sicurezza SCCM. Dopotutto, secondo i ricercatori , i criminali informatici possono utilizzare gli account di accesso alla rete (NAA) se utilizzano troppi privilegi.

Inoltre, un amministratore inconsapevole o inesperto potrebbe utilizzare lo stesso account per tutte le cose. Di conseguenza, ciò potrebbe comportare una riduzione della sicurezza su tutti i dispositivi. Inoltre, alcuni siti MCM potrebbero utilizzare controller di dominio. Pertanto, potrebbero portare al controllo remoto del codice, soprattutto se la gerarchia non è in ordine.

A seconda dell’ambiente, un utente malintenzionato potrebbe utilizzare quattro diversi metodi di attacco. Il primo metodo può consentire l’accesso alle credenziali (CRED). Il secondo attacco può elevare i privilegi (ELEVATE). Il terzo può eseguire ricognizioni e scoperte (Recon), mentre l’ultimo ottiene il controllo sulla gerarchia SCCM (TAKEOVER).

In definitiva, dovresti gestire correttamente il tuo SCCM e verificare se la gerarchia è in ordine. Inoltre, ci sono tre modi in cui puoi difenderti. Il primo metodo è prevenire gli attacchi rafforzando le configurazioni MCM per influenzare la tecnica di attacco (PREVENT).

Il secondo metodo consiste nel monitorare i registri per individuare attività sospette e utilizzare sistemi di rilevamento delle intrusioni (DETECT). Successivamente, il terzo metodo consiste nell’inserire false impostazioni di configurazione e incorporare dati nascosti (CANARY).

Quali sono i tuoi pensieri? Eri a conoscenza di questa vulnerabilità della sicurezza? Fateci sapere nei commenti.