研究人员揭露了可用于网络攻击的 Microsoft SCCM 错误配置

安全研究人员基于 Microsoft 配置管理器的不当设置，创建了攻击和防御技术的知识库存储库，这将允许攻击者执行有效负载或成为域控制器。

配置管理器 (MCM) 称为系统中心配置管理器（SCCM、ConfigMgr），自 1994 年以来一直存在，并存在于许多 Active Directory 环境中，帮助管理员管理 Windows 网络上的服务器和工作站。

十多年来，它一直是安全研究的对象，作为可以帮助对手获得 Windows 域管理权限的攻击面。

在SO-CON 安全会议上 ，SpectreOps 研究人员宣布发布 Misconfiguration Manager，这是一个基于错误 MCM 配置进行攻击的存储库，还为防御者提供资源以强化其安全立场。

SpectreOps 解释说：“我们的方法不仅限于对已知对手的策略进行分类，还包括渗透测试、红队行动和安全研究领域的贡献。”MCM/SCCM 的设置并不容易，而且许多默认配置都为攻击者留下了可乘之机。

获取域控制

SpectreOps 研究人员指出，研究人员在其工作中看到的最常见且最具破坏性的错误配置是具有过多特权的网络访问帐户 (NAA)。

谈到 MCM/SCCM，研究人员表示，“配置起来非常困难，新手或不知情的管理员可能会选择使用相同的特权帐户来完成所有操作。”

在工作期间，他们遇到了一种场景，该场景从损害标准用户的 SharePoint 帐户到成为域控制器，这一切都是由于 MCM 的 MCM 部署配置错误以及特权过高的 NAA 造成的。

在另一个示例中，研究人员表示配置管理器站点可以将域控制器注册为客户端，如果站点层次结构设置不正确，这会带来远程代码执行的风险。

为了进一步证明 MCM/SCCM 部署配置错误的风险，研究人员概述了相关经验，团队能够进入 MCM/SCCM 的中央管理站点 (CAS) 数据库并授予自己完整的管理员角色。

从那里他们可以通过使用配置管理器，在先前植入域客户端网络共享上的有效负载上执行来进一步破坏环境。

攻击与防御方法

由 Chris Thompson、Garrett Foster和 Duane Michael创建的Misconfiguration  Manager存储库旨在帮助管理员更好地了解 Microsoft 的工具，并“为防御者简化 SCCM 攻击路径管理，同时对攻击性专业人员进行有关这一模糊攻击面的培训”。

目前，该存储库描述了 22 种可用于直接攻击 MCM/SCCM 或在后利用阶段利用它的技术。

错误配置管理器技术的攻击矩阵

根据环境的不同，所描述的技术可能允许访问凭证 (CRED)、提升权限 (ELEVATE)、执行侦察和发现 (RECON) 或获得对 MCM/SCCM 层次结构的控制 (TAKEOVER)。

对于每种攻击方法，研究人员还提供了保护环境免受每种攻击技术侵害的信息。

三类防御行动：

预防：直接减轻或影响攻击技术的配置更改

检测：检测各种攻击技术的指南和策略

CANARY：基于欺骗的检测策略，使用攻击者经常滥用的功能

考虑到它被广泛采用并且必须安装在 Active Directory 域中，如果配置不当，MCM/SCCM 可能会降低公司的安全状况，这项任务适合经验丰富的管理员。

尽管错误配置管理器的创建者已经进行了测试，但建议管理员在生产环境实施之前尽量再测试一遍存储库中提供的防御方法。