微軟 SCCM 被曝管理員選擇默認(rèn)配置,被黑客利用掌控整個(gè)域

Michael 在其撰寫(xiě)的論文中指出,研究人員在工作中最常見(jiàn)、最具破壞性的錯(cuò)誤配置是權(quán)限過(guò)高的網(wǎng)絡(luò)訪(fǎng)問(wèn)賬戶(hù)(NAA),而微軟 SCCM 的相關(guān)配置讓人不知所措,新手或不了解情況的管理員可能會(huì)選擇使用同一個(gè)特權(quán)賬戶(hù)來(lái)處理所有事情。

3 月 12 日消息,安全研究人員近日發(fā)布博文,指出微軟系統(tǒng)中心配置管理器SCCM)由于相關(guān)配置過(guò)于復(fù)雜,對(duì)新手或不了解情況的管理員不友好,因此管理員通常會(huì)使用默認(rèn)配置,給攻擊者留下了可乘之機(jī)。

微軟 SCCM 被曝管理員選擇默認(rèn)配置,被黑客利用掌控整個(gè)域

來(lái)自 SpecterOps 的 Chris Thompson 和 Duane Michael 兩位研究人員出席 SO-CON 安全會(huì)議,介紹了錯(cuò)誤配置管理器(Misconfiguration Manager)問(wèn)題。

Michael 在其撰寫(xiě)的論文中指出,研究人員在工作中最常見(jiàn)、最具破壞性的錯(cuò)誤配置是權(quán)限過(guò)高的網(wǎng)絡(luò)訪(fǎng)問(wèn)賬戶(hù)(NAA),而微軟 SCCM 的相關(guān)配置讓人不知所措,新手或不了解情況的管理員可能會(huì)選擇使用同一個(gè)特權(quán)賬戶(hù)來(lái)處理所有事情。

由于管理員的錯(cuò)誤配置,導(dǎo)致攻擊者只需要入侵標(biāo)準(zhǔn)用戶(hù)的 SharePoint 賬戶(hù),就能成為掌控整個(gè)域。

在另一個(gè)例子中,Michael 說(shuō)配置管理器站點(diǎn)可以將域控制器注冊(cè)為客戶(hù)端,如果站點(diǎn)層次結(jié)構(gòu)設(shè)置不當(dāng),就會(huì)帶來(lái)遠(yuǎn)程代碼執(zhí)行的風(fēng)險(xiǎn)。

為了進(jìn)一步說(shuō)明配置錯(cuò)誤的 MCM / SCCM 部署所帶來(lái)的風(fēng)險(xiǎn),研究人員演示了團(tuán)隊(duì)能夠進(jìn)入 MCM / SCCM 的中央管理站點(diǎn)(CAS)數(shù)據(jù)庫(kù)并授予自己正式管理員角色的整個(gè)操作流程。

從報(bào)道中還獲悉,Chris Thompson、Garrett Foster 和 Duane Michael 三人還創(chuàng)建了“Misconfiguration Manager”數(shù)據(jù)庫(kù),旨在幫助管理員更好地理解微軟的工具,簡(jiǎn)化防御者的 SCCM 攻擊路徑管理。

資料庫(kù)介紹了 22 種攻擊技術(shù),可用于直接攻擊 MCM / SCCM,或在開(kāi)發(fā)后階段加以利用。

根據(jù)環(huán)境的不同,所述技術(shù)可允許訪(fǎng)問(wèn)憑證(CRED)、提升權(quán)限(ELEVATE)、執(zhí)行偵察和發(fā)現(xiàn)(RECON)或獲得對(duì) MCM / SCCM 層次結(jié)構(gòu)的控制(TAKEOVER)。

原創(chuàng)文章,作者:蘋(píng)果派,如若轉(zhuǎn)載,請(qǐng)注明出處:http://2079x.cn/article/636249.html

蘋(píng)果派的頭像蘋(píng)果派管理團(tuán)隊(duì)

相關(guān)推薦

發(fā)表回復(fù)

登錄后才能評(píng)論