Notice: Function _load_textdomain_just_in_time was called incorrectly. Translation loading for the advanced-cron-manager domain was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init action or later. Please see Debugging in WordPress for more information. (This message was added in version 6.7.0.) in /www/wwwroot/www.help4uu.com/wp-includes/functions.php on line 6121
微软 SCCM 被曝管理员选择默认配置,被黑客利用掌控整个域 | 科技云

微软 SCCM 被曝管理员选择默认配置,被黑客利用掌控整个域

3 月 12 日消息,安全研究人员近日发布博文,指出微软系统中心配置管理器SCCM)由于相关配置过于复杂,对新手或不了解情况的管理员不友好,因此管理员通常会使用默认配置,给攻击者留下了可乘之机。

来自 SpecterOps 的 Chris Thompson 和 Duane Michael 两位研究人员出席 SO-CON 安全会议,介绍了错误配置管理器(Misconfiguration Manager)问题。

Michael 在其撰写的论文中指出,研究人员在工作中最常见、最具破坏性的错误配置是权限过高的网络访问账户(NAA),而微软 SCCM 的相关配置让人不知所措,新手或不了解情况的管理员可能会选择使用同一个特权账户来处理所有事情。

由于管理员的错误配置,导致攻击者只需要入侵标准用户的 SharePoint 账户,就能成为掌控整个域。

在另一个例子中,Michael 说配置管理器站点可以将域控制器注册为客户端,如果站点层次结构设置不当,就会带来远程代码执行的风险。

为了进一步说明配置错误的 MCM / SCCM 部署所带来的风险,研究人员演示了团队能够进入 MCM / SCCM 的中央管理站点(CAS)数据库并授予自己正式管理员角色的整个操作流程。

从报道中还获悉,Chris Thompson、Garrett Foster 和 Duane Michael 三人还创建了“Misconfiguration Manager”数据库,旨在帮助管理员更好地理解微软的工具,简化防御者的 SCCM 攻击路径管理。

资料库介绍了 22 种攻击技术,可用于直接攻击 MCM / SCCM,或在开发后阶段加以利用。

根据环境的不同,所述技术可允许访问凭证(CRED)、提升权限(ELEVATE)、执行侦察和发现(RECON)或获得对 MCM / SCCM 层次结构的控制(TAKEOVER)。

文章来源于互联,不代表科技云立场!如有侵权,请联系我们。

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注