Os atores de ameaças podem usar configurações incorretas do Microsoft SCCM para ataques cibernéticos
Os leitores ajudam a oferecer suporte ao Home windows Report. Quando você faz uma compra usando hyperlinks em nosso web site, podemos ganhar uma comissão de afiliado.
Leia a página de divulgação de afiliados para descobrir como você pode ajudar o Home windows Report sem esforço e sem gastar nenhum dinheiro. Consulte Mais informação
Os pesquisadores descobriram que um Microsoft Configuration Supervisor (SCCM) mal configurado pode levar a vulnerabilidades de segurança. Assim, um ator de ameaça pode aproveitar esta oportunidade para ataques cibernéticos, como cargas úteis, ou para se tornar um controlador de domínio. Além disso, o SCCM funciona em muitos Lively Listing. Além disso, ajuda os administradores a gerenciar estações de trabalho e servidores em redes Home windows.
Durante a conferência de segurança SO-CON, SpecterOps anunciou seu repositório com ataques baseados em configurações SCCM defeituosas. Além disso, você pode conferir visitando a página do GitHub Misconfiguration Supervisor. Além disso, suas pesquisas são um pouco diferentes das outras porque incluem testes de penetração, operações de equipe vermelha e pesquisas de segurança.
O que é SCCM?
SCCM significa System Heart Configuration Supervisor, e você pode conhecê-lo como Configuration Supervisor ou MCM. Além disso, você pode usar a ferramenta MCM para gerenciar, proteger e implantar dispositivos e aplicativos. No entanto, o SCCM não é fácil de configurar. Além disso, as configurações padrão levam a vulnerabilidades de segurança.
Os invasores podem obter controle sobre o seu domínio explorando as vulnerabilidades de segurança do SCCM. Afinal, segundo os pesquisadores, os cibercriminosos podem usar suas contas de acesso à rede (NAA) se usarem muitos privilégios.
Além disso, um administrador inexperiente ou novato poderia usar a mesma conta para todas as coisas. Como resultado, isso pode levar à diminuição da segurança entre os dispositivos. Além disso, alguns websites MCM podem usar controladores de domínio. Assim, eles podem levar ao controle remoto do código, especialmente se a hierarquia não estiver em ordem.
Dependendo do ambiente, um invasor pode usar quatro métodos de ataque diferentes. O primeiro método pode permitir acesso a credenciais (CRED). O segundo ataque pode elevar privilégios (ELEVATE). O terceiro pode realizar reconhecimento e descoberta (Recon), e o último ganha controle sobre a hierarquia SCCM (TAKEOVER).
Em última análise, você deve gerenciar adequadamente seu SCCM e verificar se a hierarquia está em ordem. Além disso, existem três maneiras pelas quais você pode se defender. O primeiro método é prevenir ataques fortalecendo suas configurações de MCM para impactar a técnica de ataque (PREVENT).
O segundo método é monitorar seus logs em busca de atividades suspeitas e usar sistemas de detecção de intrusões (DETECT). Posteriormente, o terceiro método é plantar configurações falsas e incorporar dados ocultos (CANARY).
Quais são seus pensamentos? Você estava ciente desta vulnerabilidade de segurança? Deixe-nos saber nos comentários.
