Cercetătorii de securitate au creat un repository de cunoștințe pentru tehnici de atac și apărare bazate pe configurarea necorespunzătoare a Microsoft Configuration Manager, care ar putea permite unui atacator să execute payload-uri sau să devină un controler de domeniu.
Managerul de Configurare (MCM), cunoscut anterior sub numele de System Center Configuration Manager (SCCM, ConfigMgr), există din 1994 și este prezent în multe medii Active Directory, ajutând administratorii să gestioneze serverele și stațiile de lucru pe o rețea Windows.
A fost obiectul cercetărilor de securitate timp de mai mult de un deceniu ca o suprafață de atac care ar putea ajuta adversarii să obțină privilegii administrative pe un domeniu Windows.
În cadrul conferinței de securitate SO-CON de astăzi, cercetătorii de la SpecterOps, Chris Thompson și Duane Michael, au anunțat lansarea Misconfiguration Manager, un repository cu atacuri bazate pe configurații defectuoase MCM, care oferă, de asemenea, resurse pentru apărători să-și întărească poziția de securitate.
Abordarea noastră se extinde dincolo de catalogarea tacticii adversarilor cunoscuți pentru a include contribuții din domeniul testării de penetrare, operațiunilor echipei roșii și cercetării de securitate, explică SpecterOps.
Cei doi cercetători spun că MCM/SCCM nu este ușor de configurat și că multe dintre configurațiile implicite lasă loc pentru atacatori să profite.
Într-o postare pe blog, Michael ilustrează că cea mai comună și dăunătoare configurație greșită pe care o văd cercetătorii în angajamentele lor sunt conturile de acces la rețea (NAA) cu prea multe privilegii.
Făcând referire la MCM/SCCM, cercetătorul observă că este copleșitor de configurat și un administrator novice sau neștiutor ar putea alege să folosească același cont privilegiat pentru toate lucrurile.
În timpul lucrului lor, ei au întâlnit un scenariu care a urmat calea de la compromiterea contului SharePoint al unui utilizator obișnuit la devenirea unui controler de domeniu, totul datorită unei implementări MCM incorect configurate cu NAA supra-privilegiate.
Într-un alt exemplu, Michael spune că site-urile Configuration Manager ar putea înrola controllerele de domeniu ca și clienți, ceea ce introduce riscul de execuție de cod la distanță dacă ierarhia site-ului nu este configurată corect.
Pentru a demonstra și mai mult riscul unei implementări MCM/SCCM configurate greșit, cercetătorul a descris o experiență în care echipa a reușit să intre în baza de date a site-ului de administrare centrală (CAS) al MCM/SCCM și să-și acorde un rol complet de administrator.
De acolo, ar putea compromite mediul și mai mult folosind Configuration Manager pentru a executa un payload plasat anterior pe un share de rețea pe un client de domeniu.
Repository-ul Misconfiguration Manager creat de Chris Thompson, Garrett Foster și Duane Michael își propune să ajute administratorii să înțeleagă mai bine instrumentul Microsoft și să simplifice managementul căii de atac SCCM pentru apărători, educând în același timp profesioniștii din domeniul ofensiv despre această suprafață de atac nebulosă.
În prezent, repository-ul descrie 22 de tehnici care ar putea fi folosite pentru a ataca direct MCM/SCCM sau pentru a profita de ele în etapele post-exploatare.
În funcție de mediu, tehnicile descrise ar putea permite accesul la acreditări, ridicarea privilegiilor, efectuarea de recunoaștere și descoperire sau obținerea controlului ierarhiei MCM/SCCM.
Pentru fiecare metodă de atac, cercetătorii oferă și informații pentru a proteja mediul împotriva fiecărei tehnici ofensive prezentate.
Acțiunile de apărare sunt împărțite în trei categorii:
Având în vedere că este larg adoptat și trebuie instalat într-un domeniu Active Directory, MCM/SCCM poate reduce postura de securitate a unei companii dacă este configurat necorespunzător, o sarcină potrivită pentru un administrator experimentat.
Deși testate de creatorii Misconfiguration Manager, administratorii sunt sfătuiți cu tărie să testeze metodele de apărare furnizate în repository înainte de a le implementa într-un mediu de producție.
Leave a Reply