• Các nhà nghiên cứu bảo mật đã tạo ra một kho lưu trữ kiến thức về các kỹ thuật tấn công và phòng thủ dựa trên việc cấu hình không đúng cách Microsoft Configuration Manager (MCM), trước đây được gọi là System Center Configuration Manager (SCCM, ConfigMgr).
• MCM/SCCM đã tồn tại từ năm 1994 và hiện diện trong nhiều môi trường Active Directory, giúp các quản trị viên quản lý máy chủ và máy trạm trên mạng Windows.
• Nó đã trở thành đối tượng nghiên cứu bảo mật trong hơn một thập kỷ vì là một bề mặt tấn công có thể giúp đối thủ đạt được quyền quản trị trên miền Windows.
• Tại hội nghị bảo mật SO-CON, các nhà nghiên cứu SpecterOps đã công bố phát hành Misconfiguration Manager, một kho lưu trữ với các cuộc tấn công dựa trên cấu hình MCM không đúng cách và cũng cung cấp tài nguyên để người bảo vệ tăng cường tư thế bảo mật.
• Các nhà nghiên cứu cho biết MCM/SCCM không dễ thiết lập và nhiều cấu hình mặc định để lại kẽ hở cho tin tặc tận dụng.
• Một cấu hình sai phổ biến và gây hại là tài khoản truy cập mạng (NAA) có quá nhiều đặc quyền.
• Trong một kịch bản, họ theo dõi quá trình từ xâm nhập tài khoản SharePoint của người dùng tiêu chuẩn đến trở thành bộ điều khiển miền, tất cả là do cấu hình MCM/SCCM không đúng cách với NAA có đặc quyền quá mức.
• Trong một ví dụ khác, các trang web MCM có thể đăng ký bộ điều khiển miền làm máy khách, gây ra nguy cơ thực thi mã từ xa nếu hệ thống phân cấp không được thiết lập đúng cách.
• Kho lưu trữ Misconfiguration Manager mô tả 22 kỹ thuật có thể được sử dụng để tấn công trực tiếp MCM/SCCM hoặc tận dụng nó trong các giai đoạn khai thác sau.
• Tùy thuộc vào môi trường, các kỹ thuật này có thể cho phép truy cập thông tin đăng nhập (CRED), nâng cao đặc quyền (ELEVATE), thực hiện trinh sát và khám phá (RECON), hoặc kiểm soát hệ thống phân cấp MCM/SCCM (TAKEOVER).
• Đối với mỗi phương pháp tấn công, các nhà nghiên cứu cũng cung cấp thông tin để bảo vệ môi trường khỏi các kỹ thuật tấn công đó.
• Các hành động phòng thủ được chia thành ba danh mục: NGĂN CHẶN, PHÁT HIỆN và CANARY.
📌 Kho lưu trữ Misconfiguration Manager cung cấp 22 kỹ thuật tấn công và phòng thủ cho MCM/SCCM, bao gồm truy cập thông tin đăng nhập, nâng cao đặc quyền, trinh sát và kiểm soát hệ thống phân cấp, cùng với hướng dẫn phòng thủ trong 3 lĩnh vực: ngăn chặn, phát hiện và canary.
https://www.bleepingcomputer.com/news/security/researchers-expose-microsoft-sccm-misconfigs-usable-in-cyberattacks/#google_vignette