Bedreigingsactoren kunnen misconfiguraties van Microsoft SCCM gebruiken voor cyberaanvallen

Onderzoekers ontdekten dat een verkeerd geconfigureerde Microsoft Configuration Manager (SCCM) tot beveiligingsproblemen kan leiden. Een bedreigingsacteur kan deze kans dus gebruiken voor cyberaanvallen, zoals payloads, of om een ​​domeincontroller te worden. Bovendien werkt de SCCM in veel Active Directories. Bovendien helpt het beheerders bij het beheren van werkstations en servers op Windows-netwerken.

Tijdens de SO-CON-beveiligingsconferentie kondigde SpecterOps hun repository aan met aanvallen op basis van foutieve SCCM-configuraties . Je kunt het ook bekijken door naar hun GitHub Misconfiguration Manager-pagina te gaan . Bovendien is hun onderzoek een beetje anders dan dat van anderen, omdat ze penetratietesten, red team-operaties en beveiligingsonderzoek omvatten.

Wat is SCCM?

SCCM staat voor System Center Configuration Manager en u kent het misschien als Configuration Manager of MCM. Bovendien kunt u de MCM-tool gebruiken om apparaten en applicaties te beheren, beveiligen en implementeren . De SCCM is echter niet eenvoudig op te zetten. Bovendien leiden de standaardconfiguraties tot beveiligingsproblemen.

De aanvallers kunnen controle krijgen over uw domein door misbruik te maken van uw SCCM-beveiligingsproblemen. Volgens onderzoekers kunnen cybercriminelen immers uw netwerktoegangsaccounts (NAA) gebruiken als ze te veel rechten gebruiken.

Ook kan een onwetende of beginnende beheerder voor alle dingen hetzelfde account gebruiken. Als gevolg hiervan kan dit leiden tot een verminderde beveiliging op verschillende apparaten. Bovendien kunnen sommige MCM-sites domeincontrollers gebruiken. Ze kunnen dus leiden tot codecontrole op afstand, vooral als de hiërarchie niet op orde is.

Afhankelijk van de omgeving kan een aanvaller vier verschillende aanvalsmethoden gebruiken. De eerste methode kan toegang tot inloggegevens (CRED) toestaan. De tweede aanval kan de privileges verhogen (ELEVATE). De derde kan verkenningen en ontdekkingen uitvoeren (Recon), en de laatste krijgt controle over de SCCM-hiërarchie (TAKEOVER).

Uiteindelijk moet u uw SCCM goed beheren en controleren of de hiërarchie op orde is. Er zijn ook drie manieren waarop je jezelf kunt verdedigen. De eerste methode is het voorkomen van aanvallen door uw MCM-configuraties te versterken om de aanvalstechniek te beïnvloeden (PREVENT).

De tweede methode is om uw logboeken te controleren op verdachte activiteiten en om inbraakdetectiesystemen (DETECT) te gebruiken. Daarna is de derde methode het plaatsen van valse configuratie-instellingen en het insluiten van verborgen gegevens (CANARY).

Wat zijn uw gedachten? Was u op de hoogte van dit beveiligingsprobleem? Laat het ons weten in de reacties.