近日,安全研究人员在 SO-CON 安全会议上发布了关于微软系统中心配置管理器(SCCM)的一篇博文,指出了其存在的安全隐患。这些漏洞主要源于复杂的配置,给管理员带来了巨大的困扰,也为攻击者提供了可乘之机。
问题的本质
来自 SpecterOps 的 Chris Thompson 和 Duane Michael 两位研究人员在会议上介绍了他们所称的“错误配置管理器(Misconfiguration Manager)”问题。他们指出,微软 SCCM 的相关配置过于复杂,使得新手或不了解情况的管理员往往会选择默认配置,从而留下了安全漏洞。
最常见的错误配置
Michael 在他的论文中指出,最常见、也是最具破坏性的错误配置之一是权限过高的网络访问账户(NAA)。而微软 SCCM 的配置对于管理员来说可能显得令人头痛,因此他们倾向于使用同一个特权账户来处理所有事务,这为攻击者提供了可乘之机。
潜在的风险
由于管理员的错误配置,攻击者只需入侵标准用户的 SharePoint 账户,就能轻易掌控整个域。而在另一个例子中,配置管理器站点设置不当则可能导致远程代码执行的风险。
演示攻击流程
为了进一步说明错误配置带来的风险,研究人员演示了团队如何进入 SCCM 的中央管理站点(CAS)数据库,并授予自己正式管理员角色的操作流程。
应对措施
为了帮助管理员更好地理解微软的工具,简化防御者的 SCCM 攻击路径管理,Chris Thompson、Garrett Foster 和 Duane Michael 创造了“Misconfiguration Manager”数据库。该数据库详细介绍了 22 种攻击技术,可用于直接攻击 SCCM,或在开发后阶段加以利用。
技术介绍
这些技术的利用可以允许攻击者获取凭证、提升权限、进行侦察和发现,甚至获取对 SCCM 层次结构的控制。
微软系统中心配置管理器(SCCM)的安全漏洞已成为安全研究人员关注的焦点。通过揭示这些问题并提供解决方案,我们可以更好地保护系统的安全性,避免被攻击者利用。
