Güvenlik araştırmacıları, bir saldırganın yükleri yürütmesine veya bir etki alanı denetleyicisi olmasına izin verebilecek, Microsoft'un yapılandırma yöneticisini uygunsuz bir şekilde kurmaya dayanan saldırı ve savunma teknikleri için bir bilgi tabanı deposu oluşturdu.
Daha önce System Center Configuration Manager (SCCM, Configmgr) olarak bilinen Configuration Manager (MCM) 1994'ten beri var ve birçok Active Directory ortamında mevcut ve yöneticilerin bir Windows ağındaki sunucuları ve iş istasyonlarını yönetmelerine yardımcı oluyor.
Düşmanların bir Windows alanında idari ayrıcalıklar kazanmasına yardımcı olabilecek bir saldırı yüzeyi [1, 2, 3] olarak on yıldan fazla bir süredir güvenlik araştırmasının nesnesi olmuştur.
Bugün SO-CON Güvenlik Konferansı'nda Specterops araştırmacıları Chris Thompson ve Duane Michael, savunucuların güvenlik duruşlarını zorlaştırması için kaynak sağlayan hatalı MCM konfigürasyonlarına dayanan saldırılara sahip bir depo olan yanlış konfigürasyon yöneticisinin yayınlandığını duyurdu.
Specterops araştırmacıları, "Yaklaşımımız, penetrasyon testi, kırmızı ekip operasyonları ve güvenlik araştırmaları alanından katkıları içerecek şekilde bilinen rakiplerin taktiklerini kataloglamanın ötesine uzanıyor."
İki araştırmacı, MCM/SCCM'nin kurulmasının kolay olmadığını ve varsayılan yapılandırmaların çoğunun saldırganların avantajı için yer bıraktığını söylüyor.
Bir blog yazısında Michael, araştırmacıların etkileşimlerinde gördükleri en yaygın ve zarar verici yanlış yapılandırma, çok fazla ayrıcalıkla ağ erişim hesapları (NAA) olduğunu göstermektedir.
MCM/SCCM'ye atıfta bulunan araştırmacı, "yapılandırmanın ezici olduğunu ve acemi veya bilmeyen bir yöneticinin her şey için aynı ayrıcalıklı hesabı kullanmayı seçebileceğini" belirtiyor.
Çalışmaları sırasında, standart bir kullanıcının SharePoint hesabından ödün vermesinden bir etki alanı denetleyicisine kadar, hepsi de MCM'nin aşırı ayrıcalıklı NAA'larla yanlış yapılandırılmış bir MCM dağıtımından dolayı bir senaryo ile karşılaştılar.
Başka bir örnekte Michael, Configuration Manager sitelerinin, site hiyerarşisi düzgün bir şekilde kurulmamışsa uzaktan kod yürütme riskini getiren istemci olarak alan denetleyicilerini kaydetebileceğini söylüyor.
Yanlış yapılandırılmış bir MCM/SCCM dağıtım riskini daha da göstermek için, araştırmacı, ekibin MCM/SCCM'nin Merkezi Yönetim Sitesi (CAS) veritabanına girebileceği ve kendilerine tam bir yönetici rolü verebileceği bir deneyim özetledi.
Oradan, bir etki alanı istemcisindeki bir ağ paylaşımına daha önce ekilen bir yükte yürütmek için Configuration Manager'ı kullanarak çevreyi daha da tehlikeye atabilirler.
Chris Thompson, Garrett Foster ve Duane Michael tarafından yaratılan yanlış konfigürasyon yöneticisi deposu, yöneticilerin Microsoft'un aracını daha iyi anlamalarına ve "bu belirsiz saldırı yüzeyinde saldırgan profesyonelleri eğitirken savunucular için SCCM saldırı yolu yönetimini basitleştirmelerine yardımcı olmayı" hedefliyor.
Halen depo, MCM/SCCM'ye doğrudan saldırmak veya sömürü sonrası aşamalarda kullanmak için kullanılabilecek 22 tekniği açıklamaktadır.
Çevreye bağlı olarak, açıklanan teknikler kimlik bilgilerine (CRED) erişim sağlayabilir, ayrıcalıklara (yükseltme), keşif ve keşif (Recon) gerçekleştirebilir veya MCM/SCCM hiyerarşisinin (devralma) kontrolünü kazanabilir.
Her saldırı yöntemi için araştırmacılar, çevreyi sunulan saldırgan tekniklerin her birine karşı korumak için bilgi sağlar.
Savunma eylemleri üç kategoriye ayrılmıştır:
Yaygın olarak benimsenmesi ve bir Active Directory etki alanına yüklenmesi gerektiği göz önüne alındığında, MCM/SCCM, deneyimli bir yöneticiye uygun bir görev olan yanlış yapılandırılmışsa bir şirketin güvenlik duruşunu azaltabilir.
Yanlış yapılandırma yöneticisinin yaratıcıları tarafından test edilmesine rağmen, yöneticilere depoda verilen savunma yöntemlerini bir üretim ortamında uygulamadan önce test etmeleri şiddetle tavsiye edilir.
Microsoft Mart 2024 Patch Salı 60 Kusur, 18 RCE Bugs Düzeltiyor
Windows 11 KB5035853 Güncellemesi yayınlandı, işte yeni olanlar
Microsoft Office'i bu StackCommerce Anlaşması ile 200 $ 'a çıkarın
Microsoft, Rus hackerların sistemlerini ihlal ettiğini, erişilen kaynak kodunu ihlal ettiğini söylüyor
Microsoft Sysmon artık yürütülebilir dosyaların oluşturulduğunu tespit ediyor
Kaynak: Bleeping Computer