Pesquisadores revelam erros de configuração no Microsoft SCCM utilizáveis em ataques cibernéticos
12 de Março de 2024

Pesquisadores de segurança criaram um repositório de base de conhecimento para técnicas de ataque e defesa baseadas na configuração inadequada do Gerenciador de Configuração da Microsoft, que poderia permitir a um invasor executar payloads ou se tornar um controlador de domínio.

O Gerenciador de Configuração (MCM), anteriormente conhecido como System Center Configuration Manager (SCCM, ConfigMgr), existe desde 1994 e está presente em muitos ambientes do Active Directory, ajudando os administradores a gerenciar servidores e estações de trabalho em uma rede Windows.

Ele tem sido objeto de pesquisa de segurança há mais de uma década como uma superfície de ataque [1,2,3] que poderia ajudar adversários a obter privilégios administrativos em um domínio Windows.

Na conferência de segurança SO-CON hoje, os pesquisadores da SpecterOps, Chris Thompson e Duane Michael, anunciaram o lançamento do Misconfiguration Manager, um repositório com ataques baseados em configurações MCM defeituosas que também fornece recursos para os defensores fortalecerem sua postura de segurança.

"Nossa abordagem vai além de catalogar as táticas de adversários conhecidos para incluir contribuições do âmbito de testes de penetração, operações da equipe vermelha e pesquisa de segurança", explica o SpecterOps.

Os dois pesquisadores dizem que o MCM/SCCM não é fácil de configurar e que muitas das configurações padrão deixam espaço para os invasores tirarem proveito.

Em uma postagem de blog, Michael ilustra que a configuração indevida mais comum e prejudicial que os pesquisadores vêem em seus compromissos são contas de acesso à rede (NAA) com muitos privilégios.

Referindo-se ao MCM/SCCM, o pesquisador observa que "é esmagador configurar, e um administrador novato ou ignorante pode optar por usar a mesma conta privilegiada para todas as coisas".

Durante seu trabalho, eles encontraram um cenário que seguiu o caminho de comprometer a conta SharePoint de um usuário comum até se tornar um controlador de domínio, tudo devido a uma implantação MCM mal configurada do MCM com NAAs superprivilegiados.

Em outro exemplo, Michael diz que os sites do Gerenciador de Configuração poderiam inscrever controladores de domínio como clientes, o que introduz o risco de execução remota de código se a hierarquia do site não estiver configurada corretamente.

Para demonstrar o risco de uma implantação MCM/SCCM mal configurada ainda mais, o pesquisador descreveu uma experiência em que a equipe conseguiu entrar no banco de dados do site de administração central (CAS) MCM/SCCM e conceder a si mesma um papel de administrador completo.

A partir daí, eles poderiam comprometer o ambiente ainda mais usando o Gerenciador de Configuração para executar em uma payload previamente plantada em um compartilhamento de rede em um cliente de domínio.

O repositório Misconfiguration Manager criado por Chris Thompson, Garrett Foster e Duane Michael visa ajudar os administradores a entender melhor a ferramenta da Microsoft e "simplificar o gerenciamento de caminho de ataque do SCCM para os defensores enquanto educa profissionais ofensivos sobre essa superfície de ataque nebulosa".

Atualmente, o repositório descreve 22 técnicas que podem ser usadas para atacar diretamente o MCM/SCCM ou para alavancá-lo nas etapas de pós-exploração.

Dependendo do ambiente, as técnicas descritas podem permitir acesso a credenciais (CRED), elevar privilégios (ELEVATE), realizar reconhecimento e descoberta (RECON) ou assumir o controle da hierarquia MCM/SCCM (TAKEOVER).

Para cada método de ataque, os pesquisadores também fornecem informações para proteger o ambiente contra cada uma das técnicas ofensivas apresentadas.

As ações de defesa são divididas em três categorias:

PREVENIR: alterações de configuração que mitigam diretamente ou impactam uma técnica de ataque
DETECTAR: orientações e estratégias para detectar várias técnicas de ataque
CANARY: estratégias de detecção baseadas em engano, usando recursos que os invasores comumente abusam

Considerando que é amplamente adotado e deve ser instalado em um domínio do Active Directory, o MCM/SCCM pode diminuir a postura de segurança de uma empresa se configurado de forma inadequada, uma tarefa adequada para um administrador experiente.

Embora testados pelos criadores do Misconfiguration Manager, os administradores são fortemente aconselhados a testar os métodos de defesa fornecidos no repositório antes de implementá-los em um ambiente de produção.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...