微軟 SCCM 被曝配置問題：太復(fù)雜導(dǎo)致管理員選擇默認(rèn)配置，被黑客利用可掌控整個域

IT之家 3 月 12 日消息，安全研究人員近日發(fā)布博文，指出微軟系統(tǒng)中心配置管理器（SCCM）由于相關(guān)配置過于復(fù)雜，對新手或不了解情況的管理員不友好，因此管理員通常會使用默認(rèn)配置，給攻擊者留下了可乘之機(jī)。

來自 SpecterOps 的 Chris Thompson 和 Duane Michael 兩位研究人員出席 SO-CON 安全會議，介紹了錯誤配置管理器（Misconfiguration Manager）問題。

Michael 在其撰寫的論文中指出，研究人員在工作中最常見、最具破壞性的錯誤配置是權(quán)限過高的網(wǎng)絡(luò)訪問賬戶（NAA），而微軟 SCCM 的相關(guān)配置讓人不知所措，新手或不了解情況的管理員可能會選擇使用同一個特權(quán)賬戶來處理所有事情。

由于管理員的錯誤配置，導(dǎo)致攻擊者只需要入侵標(biāo)準(zhǔn)用戶的 SharePoint 賬戶，就能成功掌控整個域。

在另一個例子中，Michael 說配置管理器站點(diǎn)可以將域控制器注冊為客戶端，如果站點(diǎn)層次結(jié)構(gòu)設(shè)置不當(dāng)，就會帶來遠(yuǎn)程代碼執(zhí)行的風(fēng)險(xiǎn)。

為了進(jìn)一步說明配置錯誤的 MCM / SCCM 部署所帶來的風(fēng)險(xiǎn)，研究人員演示了團(tuán)隊(duì)能夠進(jìn)入 MCM / SCCM 的中央管理站點(diǎn)（CAS）數(shù)據(jù)庫并授予自己正式管理員角色的整個操作流程。

IT之家從報(bào)道中還獲悉，Chris Thompson、Garrett Foster 和 Duane Michael 三人還創(chuàng)建了“Misconfiguration Manager”數(shù)據(jù)庫，旨在幫助管理員更好地理解微軟的工具，簡化防御者的 SCCM 攻擊路徑管理。

資料庫介紹了 22 種攻擊技術(shù)，可用于直接攻擊 MCM / SCCM，或在開發(fā)后階段加以利用。

根據(jù)環(huán)境的不同，所述技術(shù)可允許訪問憑證（CRED）、提升權(quán)限（ELEVATE）、執(zhí)行偵察和發(fā)現(xiàn)（RECON）或獲得對 MCM / SCCM 層次結(jié)構(gòu)的控制（TAKEOVER）。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。