Os atores de ameaças podem usar configurações incorretas do Microsoft SCCM para ataques cibernéticos

Os atores de ameaças podem usar configurações incorretas do Microsoft SCCM para ataques cibernéticos

Os pesquisadores descobriram que um Microsoft Configuration Manager (SCCM) mal configurado pode levar a vulnerabilidades de segurança. Assim, um ator de ameaça pode aproveitar esta oportunidade para ataques cibernéticos, como cargas úteis, ou para se tornar um controlador de domínio. Além disso, o SCCM funciona em muitos Active Directory. Além disso, ajuda os administradores a gerenciar estações de trabalho e servidores em redes Windows.

Durante a conferência de segurança SO-CON , SpecterOps anunciou seu repositório com ataques baseados em configurações defeituosas do SCCM . Além disso, você pode conferir visitando a página do GitHub Misconfiguration Manager . Além disso, suas pesquisas são um pouco diferentes das outras porque incluem testes de penetração, operações de equipe vermelha e pesquisas de segurança.

O que é SCCM?

SCCM significa System Center Configuration Manager, e você pode conhecê-lo como Configuration Manager ou MCM. Além disso, você pode usar a ferramenta MCM para gerenciar, proteger e implantar dispositivos e aplicativos . No entanto, o SCCM não é fácil de configurar. Além disso, as configurações padrão levam a vulnerabilidades de segurança.

Os invasores podem obter controle sobre o seu domínio explorando as vulnerabilidades de segurança do SCCM. Afinal, segundo os pesquisadores , os cibercriminosos podem usar suas contas de acesso à rede (NAA) se usarem muitos privilégios.

Além disso, um administrador inexperiente ou novato poderia usar a mesma conta para todas as coisas. Como resultado, isso pode levar à diminuição da segurança entre os dispositivos. Além disso, alguns sites MCM podem usar controladores de domínio. Assim, eles podem levar ao controle remoto do código, especialmente se a hierarquia não estiver em ordem.

Dependendo do ambiente, um invasor pode usar quatro métodos de ataque diferentes. O primeiro método pode permitir acesso a credenciais (CRED). O segundo ataque pode elevar privilégios (ELEVATE). O terceiro pode realizar reconhecimento e descoberta (Recon), e o último ganha controle sobre a hierarquia SCCM (TAKEOVER).

Em última análise, você deve gerenciar adequadamente seu SCCM e verificar se a hierarquia está em ordem. Além disso, existem três maneiras pelas quais você pode se defender. O primeiro método é prevenir ataques fortalecendo suas configurações de MCM para impactar a técnica de ataque (PREVENT).

O segundo método é monitorar seus logs em busca de atividades suspeitas e usar sistemas de detecção de intrusões (DETECT). Posteriormente, o terceiro método é plantar configurações falsas e incorporar dados ocultos (CANARY).

Quais são seus pensamentos? Você estava ciente desta vulnerabilidade de segurança? Deixe-nos saber nos comentários.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *