위협 행위자는 사이버 공격에 Microsoft SCCM 잘못된 구성을 사용할 수 있습니다.

연구원들은 잘못 구성된 SCCM(Microsoft Configuration Manager)이 보안 취약점으로 이어질 수 있다는 사실을 발견했습니다. 따라서 위협 행위자는 이 기회를 페이로드와 같은 사이버 공격에 사용하거나 도메인 컨트롤러가 될 수 있습니다. 또한 SCCM은 많은 Active Directory에서 작동합니다. 또한 관리자가 Windows 네트워크에서 워크스테이션과 서버를 관리하는 데 도움이 됩니다.

SO-CON 보안 컨퍼런스 에서 SpecterOps는 잘못된 SCCM 구성을 기반으로 한 공격이 포함된 저장소를 발표했습니다 . 또한 GitHub Misconfiguration Manager 페이지를 방문하여 확인할 수 있습니다 . 또한 그들의 연구에는 침투 테스트, 레드팀 운영, 보안 연구 등이 포함되어 있다는 점에서 다른 연구와 약간 다릅니다.

SCCM이란 무엇입니까?

SCCM은 System Center Configuration Manager의 약자로, Configuration Manager 또는 MCM으로 알려져 있습니다. 또한 MCM 도구를 사용하여 장치와 애플리케이션을 관리, 보호 및 배포할 수 있습니다 . 그러나 SCCM은 설정하기가 쉽지 않습니다. 게다가 기본 구성으로 인해 보안 취약점이 발생합니다.

공격자는 SCCM 보안 취약점을 악용하여 도메인에 대한 제어권을 얻을 수 있습니다. 결국, 연구원들에 따르면 사이버 범죄자들은 ​​너무 많은 권한을 사용할 경우 네트워크 액세스 계정(NAA)을 사용할 수 있습니다.

또한 모르는 관리자나 초보 관리자도 모든 작업에 동일한 계정을 사용할 수 있습니다. 결과적으로 이로 인해 장치 전반에 걸쳐 보안이 저하될 수 있습니다. 또한 일부 MCM 사이트는 도메인 컨트롤러를 사용할 수 있습니다. 따라서 특히 계층 구조가 순서대로 이루어지지 않은 경우 원격 코드 제어로 이어질 수 있습니다.

환경에 따라 공격자는 네 가지 공격 방법을 사용할 수 있습니다. 첫 번째 방법은 자격 증명(CRED)에 대한 액세스를 허용할 수 있습니다. 두 번째 공격은 권한을 상승시킬 수 있습니다(ELEVATE). 세 번째는 정찰 및 발견(Recon)을 수행할 수 있고 마지막은 SCCM 계층 구조에 대한 제어권을 얻습니다(TAKEOVER).

궁극적으로 SCCM을 적절하게 관리하고 계층 구조가 올바른지 확인해야 합니다. 또한 자신을 방어할 수 있는 방법에는 세 가지가 있습니다. 첫 번째 방법은 공격 기법에 영향을 미칠 수 있도록 MCM 구성을 강화하여 공격을 방지하는 것입니다(PREVENT).

두 번째 방법은 로그에서 의심스러운 활동을 모니터링하고 침입 탐지 시스템(DETECT)을 사용하는 것입니다. 이후 세 번째 방법은 가짜 구성 설정을 심고 숨겨진 데이터를 삽입하는 방법(CANARY)이다.

당신의 생각은 무엇입니까? 이 보안 취약점을 알고 계셨습니까? 댓글을 통해 알려주세요.