微软配置管理工具SCCM配置错误成网络攻击软肋 专家教你入局方法

2024-03-12 10:41:00 作者：姚立伟

据安全研究人员近日发布的博文称，微软系统中心配置管理器（SCCM）的相关配置过于复杂，对新手或不了解情况的管理员来说并不友好。因此，管理员通常会使用默认配置，这给攻击者留下了可乘之机。

研究人员发现，权限过高的网络访问账户（NAA）是他们工作中最常见的、最具破坏性的错误配置之一。而微软 SCCM 的相关配置也让人困惑不已。举例来说，新手或不了解情况的管理员可能会选择使用同一个特权账户来处理所有事情。这样一来，只要攻击者能够入侵到标准用户的 SharePoint 账户，就可以掌控整个域。

另一个例子中，配置管理器站点可以将域控制器注册为客户端。如果站点层次结构设置不当，则存在远程代码执行的风险。为了更好地说明 MCM / SCCM 部署所带来的风险，研究人员演示了如何进入 MCM / SCCM 的中央管理站点（CAS）数据库，并授予自己正式管理员角色的整个操作流程。

此外，Chris Thompson、Garrett Foster 和 Duane Michael 三人还创建了一个名为“Misconfiguration Manager”的数据库，旨在帮助管理员更好地理解微软的工具，并简化防御者的 SCCM 攻击路径管理。该数据库介绍了 22 种攻击技术，可用于直接攻击 MCM / SCCM 或在开发后阶段加以利用。

这些技术包括获取凭证、提升权限、执行侦察和发现以及控制 MCM / SCCM 层次结构等。根据环境的不同，攻击者可以从中获得各种优势。