Podmioty zagrażające mogą wykorzystywać błędne konfiguracje Microsoft SCCM do cyberataków

Badacze odkryli, że źle skonfigurowany program Microsoft Configuration Manager (SCCM) może prowadzić do luk w zabezpieczeniach. W związku z tym podmiot zagrażający może wykorzystać tę okazję do cyberataków, takich jak ładunki, lub aby zostać kontrolerem domeny. Ponadto SCCM działa w wielu Active Directory. Ponadto pomaga administratorom zarządzać stacjami roboczymi i serwerami w sieciach Windows.

Podczas konferencji poświęconej bezpieczeństwu SO-CON firma SpecterOps ogłosiła, że ​​w swoim repozytorium przeprowadza ataki oparte na błędnych konfiguracjach SCCM . Możesz to również sprawdzić, odwiedzając stronę Menedżera błędnej konfiguracji w GitHub . Ponadto ich badania różnią się nieco od innych, ponieważ obejmują testy penetracyjne, operacje czerwonego zespołu i badania bezpieczeństwa.

Co to jest SCCM?

SCCM oznacza Menedżera konfiguracji System Center i możesz go znać jako Menedżer konfiguracji lub MCM. Ponadto możesz używać narzędzia MCM do zarządzania, zabezpieczania i wdrażania urządzeń i aplikacji . Jednak konfiguracja SCCM nie jest łatwa. Co więcej, domyślne konfiguracje prowadzą do luk w zabezpieczeniach.

Osoby atakujące mogą przejąć kontrolę nad Twoją domeną, wykorzystując luki w zabezpieczeniach SCCM. W końcu, zdaniem badaczy , cyberprzestępcy mogą wykorzystać Twoje konta dostępu do sieci (NAA), jeśli użyją zbyt wielu uprawnień.

Ponadto nieświadomy lub początkujący administrator może używać tego samego konta do wszystkich czynności. W rezultacie może to prowadzić do zmniejszenia bezpieczeństwa na różnych urządzeniach. Ponadto niektóre witryny MCM mogą korzystać z kontrolerów domeny. W związku z tym mogą prowadzić do zdalnej kontroli kodu, zwłaszcza jeśli hierarchia nie jest uporządkowana.

W zależności od środowiska osoba atakująca może zastosować cztery różne metody ataku. Pierwsza metoda umożliwia dostęp do poświadczeń (CRED). Drugi atak może podnieść uprawnienia (ELEVATE). Trzeci może przeprowadzać rekonesans i odkrycia (Recon), a ostatni przejmuje kontrolę nad hierarchią SCCM (TAKEOVER).

Docelowo powinieneś odpowiednio zarządzać swoim SCCM i sprawdzać, czy hierarchia jest uporządkowana. Istnieją także trzy sposoby obrony. Pierwsza metoda polega na zapobieganiu atakom poprzez wzmocnienie konfiguracji MCM, aby wpłynąć na technikę ataku (ZAPOBIEGANIE).

Druga metoda polega na monitorowaniu logów pod kątem podejrzanych działań i korzystaniu z systemów wykrywania włamań (DETECT). Następnie trzecia metoda polega na podłożeniu fałszywych ustawień konfiguracyjnych i osadzeniu ukrytych danych (CANARY).

Jakie są Twoje myśli? Czy byłeś świadomy tej luki w zabezpieczeniach? Daj nam znać w komentarzach.