IT之家 3 月 12 日消息,安全研究人員近日發(fā)布博文,指出微軟系統(tǒng)中心配置管理器(SCCM)由于相關配置過于復雜,對新手或不了解情況的管理員不友好,因此管理員通常會使用默認配置,給攻擊者留下了可乘之機。
來自 SpecterOps 的 Chris Thompson 和 Duane Michael 兩位研究人員出席 SO-CON 安全會議,介紹了錯誤配置管理器(Misconfiguration Manager)問題。
Michael 在其撰寫的論文中指出,研究人員在工作中最常見、最具破壞性的錯誤配置是權限過高的網(wǎng)絡訪問賬戶(NAA),而微軟 SCCM 的相關配置讓人不知所措,新手或不了解情況的管理員可能會選擇使用同一個特權賬戶來處理所有事情。
由于管理員的錯誤配置,導致攻擊者只需要入侵標準用戶的 SharePoint 賬戶,就能成功掌控整個域。
在另一個例子中,Michael 說配置管理器站點可以將域控制器注冊為客戶端,如果站點層次結構設置不當,就會帶來遠程代碼執(zhí)行的風險。
為了進一步說明配置錯誤的 MCM / SCCM 部署所帶來的風險,研究人員演示了團隊能夠進入 MCM / SCCM 的中央管理站點(CAS)數(shù)據(jù)庫并授予自己正式管理員角色的整個操作流程。
IT之家從報道中還獲悉,Chris Thompson、Garrett Foster 和 Duane Michael 三人還創(chuàng)建了“Misconfiguration Manager”數(shù)據(jù)庫,旨在幫助管理員更好地理解微軟的工具,簡化防御者的 SCCM 攻擊路徑管理。
資料庫介紹了 22 種攻擊技術,可用于直接攻擊 MCM / SCCM,或在開發(fā)后階段加以利用。
根據(jù)環(huán)境的不同,所述技術可允許訪問憑證(CRED)、提升權限(ELEVATE)、執(zhí)行偵察和發(fā)現(xiàn)(RECON)或獲得對 MCM / SCCM 層次結構的控制(TAKEOVER)。
廣告聲明:文內含有的對外跳轉鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時間,結果僅供參考,IT之家所有文章均包含本聲明。