威脅參與者可以利用 Microsoft SCCM 錯誤配置進行網路攻擊

威脅參與者可以利用 Microsoft SCCM 錯誤配置進行網路攻擊

研究人員發現,配置錯誤的 Microsoft 設定管理器 (SCCM) 可能會導致安全漏洞。因此,威脅行為者可以利用這個機會進行網路攻擊,例如有效負載,或成為網域控制器。此外,SCCM 可在許多 Active Directory 中執行。此外,它還可以幫助管理員管理 Windows 網路上的工作站和伺服器。

SO-CON 安全會議期間,SpecterOps 宣布了他們的儲存庫,其中包含基於錯誤 SCCM 配置的攻擊。另外,您可以透過造訪他們的 GitHub Misconfiguration Manager 頁面來查看。此外,他們的研究與其他研究有點不同,因為它們包括滲透測試、紅隊運作和安全研究。

什麼是SCCM?

SCCM 代表 System Center Configuration Manager,您可能會稱之為 Configuration Manager 或 MCM。此外,您可以使用 MCM 工具來管理、保護和部署裝置和應用程式。然而,SCCM 的建立並不容易。最重要的是,預設配置會導致安全漏洞。

攻擊者可以透過利用您的 SCCM 安全漏洞來控制您的網域。畢竟,根據研究人員的說法,如果網路犯罪分子使用過多的權限,他們就可以使用您的網路存取帳戶 (NAA)。

此外,不知情的管理員或新手管理員可以使用同一個帳戶來執行所有操作。因此,這可能會導致跨裝置的安全性降低。此外,某些MCM 網站可以使用網域控制站。因此,它們可能會導致遠端程式碼控制,尤其是在層次結構不有序的情況下。

根據環境的不同,攻擊者可以使用四種不同的攻擊方法。第一種方法可以允許存取憑證 (CRED)。第二種攻擊可以提升權限(ELEVATE)。第三個可以執行偵察和發現 (Recon),最後一個可以控制 SCCM 層級結構 (TAKEOVER)。

最終,您應該正確管理 SCCM 並驗證層次結構是否有序。此外,您可以透過三種方式保護自己。第一種方法是透過加強 MCM 配置來影響攻擊技術(預防)來防止攻擊。

第二種方法是監視日誌中是否有可疑活動並使用入侵偵測系統 (DETECT)。之後,第三種方法是植入虛假配置設定並嵌入隱藏資料(CANARY)。

你怎麼看?您是否意識到此安全漏洞?讓我們在評論中知道。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *