Uno de los investigadores que Recientemente compilé una base de conocimientos. de configuraciones erróneas comunes y técnicas de ataque que afectan a Microsoft System Center Configuration Manager (SCCM), ha desarrollado un escáner de código abierto para ayudar a los administradores a identificar más fácilmente esas debilidades en sus entornos SCCM.
“Aunque detallamos cómo llevar a cabo, mitigar y detectar cada uno de estos ataques en la base de conocimientos, pronto nos dimos cuenta de nuestras conversaciones con los defensores y administradores de SCCM que no todos tienen el ancho de banda, los privilegios o el permiso para demostrar estos ataques a sus organización”, dijo Chris Thompson, especialista en simulación de adversarios de la firma de seguridad SpecterOps, en una publicación de blog. «El mejor consejo que pudimos dar en ese momento fue pedirle a alguien con privilegios SCCM que revisara manualmente el entorno en busca de configuraciones incorrectas… ¡hasta ahora!»
Escáner SCCM MisconfigurationManager.ps1
Su nuevo escáner está implementado como un script de PowerShell llamado Error de configuraciónManager.ps1 y está disponible en GitHub. Por ahora, es capaz de identificar configuraciones inseguras que permiten ocho de las nueve técnicas de toma de control de la jerarquía SCCM descritas en la base de conocimientos, así como dos técnicas que pueden usarse para la escalada de privilegios y el movimiento lateral.
La base de conocimientos del Administrador de configuración incorrecta, también disponible en GitHub, organiza las técnicas de ataque SCCM documentadas en varias categorías: CRED, cinco técnicas que se pueden utilizar para varios tipos de extracción de credenciales; ELEVATE, dos técnicas que se pueden utilizar para la escalada de privilegios y el movimiento lateral; EXEC, dos técnicas para la ejecución remota de código; RECON, cinco técnicas para identificar sistemas SCCM; y TAKEOVER, ocho técnicas que se pueden utilizar para hacerse cargo de una jerarquía SCCM que normalmente dará como resultado un control total del dominio.
La base de conocimientos también incluye artículos defensivos que se dividen en categorías PREVENIR, DETECTAR y CANARIO y cubren cambios de configuración en SCCM que pueden mitigar directamente una técnica de ataque específica.
Thompson planea ampliar aún más su escáner para cubrir también la última técnica TAKEOVER, así como los ataques CRED, y quiere publicarlo en PowerShell Gallery, el repositorio oficial de scripts de PowerShell.
El script se puede ejecutar con cualquier rol de seguridad en SCCM (incluido el analista de solo lectura) contra cualquier proveedor de SMS y aprovecha el Instrumental de administración de Windows (WMI) para interactuar con WMI, el registro y el administrador de control de servicios en los sistemas que forman parte de un sitio SCCM. Thompson aconseja a los usuarios ejecutarlo con privilegios de administrador local y conectividad de red a sistemas RPC y SMB en el sitio para evitar falsos positivos y obtener los resultados más precisos.
SCCM permite a los administradores de sistemas implementar de forma remota aplicaciones, actualizaciones de software, sistemas operativos y configuraciones de cumplimiento en una amplia gama de servidores y estaciones de trabajo de Windows. Es una tecnología de Microsoft que existe con varios nombres desde hace casi 30 años y está muy extendida en entornos Active Directory. Esto también significa que la tecnología tiene una gran deuda técnica debido a muchos años de desarrollo, y muchas de sus configuraciones predeterminadas son inseguras según los especialistas de SpecterOps, que realizan regularmente pruebas de penetración y compromisos con el equipo rojo.
Muchos otros investigadores han documentado los riesgos y ataques de seguridad de SCCM a lo largo de los años, destacando que es una superficie de ataque que a menudo se pasa por alto. Hace apenas dos semanas, investigadores de GuidePoint Security presentaron un método para comprometer la cuenta push del cliente SCCM y la cuenta de la máquina SCCM. lo que puede conducir a una adquisición total del sitio SCCM.