威脅參與者可以利用 Microsoft SCCM 錯誤配置進行網路攻擊

研究人員發現，配置錯誤的 Microsoft 設定管理器 (SCCM) 可能會導致安全漏洞。因此，威脅行為者可以利用這個機會進行網路攻擊，例如有效負載，或成為網域控制器。此外，SCCM 可在許多 Active Directory 中執行。此外，它還可以幫助管理員管理 Windows 網路上的工作站和伺服器。

在SO-CON 安全會議期間，SpecterOps 宣布了他們的儲存庫，其中包含基於錯誤 SCCM 配置的攻擊。另外，您可以透過造訪他們的 GitHub Misconfiguration Manager 頁面來查看。此外，他們的研究與其他研究有點不同，因為它們包括滲透測試、紅隊運作和安全研究。

什麼是SCCM？

SCCM 代表 System Center Configuration Manager，您可能會稱之為 Configuration Manager 或 MCM。此外，您可以使用 MCM 工具來管理、保護和部署裝置和應用程式。然而，SCCM 的建立並不容易。最重要的是，預設配置會導致安全漏洞。

攻擊者可以透過利用您的 SCCM 安全漏洞來控制您的網域。畢竟，根據研究人員的說法，如果網路犯罪分子使用過多的權限，他們就可以使用您的網路存取帳戶 (NAA)。

此外，不知情的管理員或新手管理員可以使用同一個帳戶來執行所有操作。因此，這可能會導致跨裝置的安全性降低。此外，某些MCM 網站可以使用網域控制站。因此，它們可能會導致遠端程式碼控制，尤其是在層次結構不有序的情況下。

根據環境的不同，攻擊者可以使用四種不同的攻擊方法。第一種方法可以允許存取憑證 (CRED)。第二種攻擊可以提升權限（ELEVATE）。第三個可以執行偵察和發現 (Recon)，最後一個可以控制 SCCM 層級結構 (TAKEOVER)。

最終，您應該正確管理 SCCM 並驗證層次結構是否有序。此外，您可以透過三種方式保護自己。第一種方法是透過加強 MCM 配置來影響攻擊技術（預防）來防止攻擊。

第二種方法是監視日誌中是否有可疑活動並使用入侵偵測系統 (DETECT)。之後，第三種方法是植入虛假配置設定並嵌入隱藏資料（CANARY）。

你怎麼看？您是否意識到此安全漏洞？讓我們在評論中知道。