脅威アクターは Microsoft SCCM の設定ミスをサイバー攻撃に利用する可能性がある

研究者らは、Microsoft Configuration Manager (SCCM) の構成が誤っていると、セキュリティの脆弱性が発生する可能性があることを発見しました。したがって、脅威アクターはこの機会を利用してペイロードなどのサイバー攻撃を行ったり、ドメイン コントローラーになったりする可能性があります。さらに、SCCM は多くの Active Directory で動作します。さらに、管理者が Windows ネットワーク上のワークステーションやサーバーを管理するのにも役立ちます。

SO-CON セキュリティ カンファレンス中に、SpecterOps は、欠陥のある SCCM 構成に基づく攻撃を含むリポジトリを発表しました。また、GitHub Misconfiguration Manager ページにアクセスして確認することもできます。さらに、彼らの研究には侵入テスト、レッドチームの運用、セキュリティ研究が含まれているため、他の研究とは少し異なります。

SCCMとは何ですか?

SCCM は System Center Configuration Manager の略で、Configuration Manager または MCM として知られているかもしれません。さらに、MCM ツールを使用して、デバイスとアプリケーションを管理、保護、展開することができます。ただし、SCCM のセットアップは簡単ではありません。さらに、デフォルトの構成はセキュリティの脆弱性につながります。

攻撃者は、SCCM セキュリティの脆弱性を悪用して、ドメインを制御する可能性があります。結局のところ、研究者によると、サイバー犯罪者は、あまりにも多くの権限を使用すると、ネットワーク アクセス アカウント (NAA) を使用する可能性があります。

また、何も知らない管理者や初心者の管理者が、すべてのことに同じアカウントを使用する可能性があります。その結果、デバイス全体のセキュリティが低下する可能性があります。さらに、一部のMCM サイトではドメイン コントローラーを使用することができます。したがって、特に階層が正しくない場合、リモート コード制御につながる可能性があります。

環境に応じて、攻撃者は 4 つの異なる攻撃方法を使用する可能性があります。最初の方法では、資格情報 (CRED) へのアクセスを許可できます。 2 番目の攻撃では、権限を昇格させることができます (ELEVATE)。 3 番目のものは偵察と発見 (Recon) を実行でき、最後のものは SCCM 階層の制御を取得します (TAKEOVER)。

最終的には、SCCM を適切に管理し、階層が適切であるかどうかを確認する必要があります。また、自分自身を守る方法が 3 つあります。 1 つ目の方法は、攻撃手法に影響を与えるように MCM 構成を強化することで攻撃を防止することです (PREVENT)。

2 番目の方法は、不審なアクティビティのログを監視し、侵入検知システム (DETECT) を使用することです。その後、3 番目の方法は、偽の構成設定を植え付け、隠しデータ (CANARY) を埋め込むことです。

どう思いますか？このセキュリティ上の脆弱性についてご存知でしたか?コメントでお知らせください。