Os atores de ameaças podem usar configurações incorretas do Microsoft SCCM para ataques cibernéticos

Os pesquisadores descobriram que um Microsoft Configuration Manager (SCCM) mal configurado pode levar a vulnerabilidades de segurança. Assim, um ator de ameaça pode aproveitar esta oportunidade para ataques cibernéticos, como cargas úteis, ou para se tornar um controlador de domínio. Além disso, o SCCM funciona em muitos Active Directory. Além disso, ajuda os administradores a gerenciar estações de trabalho e servidores em redes Windows.

Durante a conferência de segurança SO-CON , SpecterOps anunciou seu repositório com ataques baseados em configurações defeituosas do SCCM . Além disso, você pode conferir visitando a página do GitHub Misconfiguration Manager . Além disso, suas pesquisas são um pouco diferentes das outras porque incluem testes de penetração, operações de equipe vermelha e pesquisas de segurança.

O que é SCCM?

SCCM significa System Center Configuration Manager, e você pode conhecê-lo como Configuration Manager ou MCM. Além disso, você pode usar a ferramenta MCM para gerenciar, proteger e implantar dispositivos e aplicativos . No entanto, o SCCM não é fácil de configurar. Além disso, as configurações padrão levam a vulnerabilidades de segurança.

Os invasores podem obter controle sobre o seu domínio explorando as vulnerabilidades de segurança do SCCM. Afinal, segundo os pesquisadores , os cibercriminosos podem usar suas contas de acesso à rede (NAA) se usarem muitos privilégios.

Além disso, um administrador inexperiente ou novato poderia usar a mesma conta para todas as coisas. Como resultado, isso pode levar à diminuição da segurança entre os dispositivos. Além disso, alguns sites MCM podem usar controladores de domínio. Assim, eles podem levar ao controle remoto do código, especialmente se a hierarquia não estiver em ordem.

Dependendo do ambiente, um invasor pode usar quatro métodos de ataque diferentes. O primeiro método pode permitir acesso a credenciais (CRED). O segundo ataque pode elevar privilégios (ELEVATE). O terceiro pode realizar reconhecimento e descoberta (Recon), e o último ganha controle sobre a hierarquia SCCM (TAKEOVER).

Em última análise, você deve gerenciar adequadamente seu SCCM e verificar se a hierarquia está em ordem. Além disso, existem três maneiras pelas quais você pode se defender. O primeiro método é prevenir ataques fortalecendo suas configurações de MCM para impactar a técnica de ataque (PREVENT).

O segundo método é monitorar seus logs em busca de atividades suspeitas e usar sistemas de detecção de intrusões (DETECT). Posteriormente, o terceiro método é plantar configurações falsas e incorporar dados ocultos (CANARY).

Quais são seus pensamentos? Você estava ciente desta vulnerabilidade de segurança? Deixe-nos saber nos comentários.